Categories Top Downloads
Login Register Upload

AgTeknolojilerineGiris_cbakan_2

April 19, 2017 | Author: Emre Köprülü | Category: N/A
Share Embed Donate
Report this link


Short Description

Download AgTeknolojilerineGiris_cbakan_2...

Description

AĞ TEKNOLOJİLERİNE GİRİŞ

Hulusi TURGUT

2004 1

İÇİNDEKİLER ÖNSÖZ........................................................................................................................ 5 ÜNİTE 1 – OSI REFERANS MODELİ VE KATMANLI İLETİŞİM ................................................. 9 1.1 HİYERARŞİK AĞ MODELİ ................................................................................. 9 1.2 (OPEN SYSTEMS INTERCONNECTION) OSI MODELİ ....................................... 10 1.3 NİÇİN KATMANLI AĞ MODELİ ? ..................................................................... 11 1.4 7 KATMANLI OSI MODELİ.............................................................................. 11 1.4.1. Katman 7 – Uygulama Katmanı (Application Layer)............................... 11 1.4.2. Katman 6 – Sunum Katmanı (Presentation Layer) ................................. 12 1.4.3. Katman 5 – Oturum Katmanı (Session Layer)........................................ 12 1.4.4. Katman 4 – Nakil Katmanı (Transport Layer) ........................................ 12 1.4.5. Katman 3 – Ağ Katmanı (Network Layer) .............................................. 12 1.4.6. Katman 2 – Data Link Katmanı (Data Link Layer) .................................. 13 1.4.7. Katman 1 – Fiziksel Katman (Physical Layer) ........................................ 13 1.5. KATMANLAR ARASI İLETİŞİM VE DATA KAPSÜLLENMESİ ............................ 14 (DATA ENCAPSULATION)....................................................................................... 14 1.6. TCP/IP MODELİ.......................................................................................... 15 1.6.1. Katman 4 – Uygulama Katmanı (Application Layer).............................. 15 1.6.2. Katman 3 – Nakil Katmanı (Transport Layer) ........................................ 15 1.6.3. Katman 2 – Internet Katmanı (Internet Layer) ..................................... 15 1.6.4. Katman 1 – Ağ Giriş Katmanı (Network Access Layer)........................... 16 ÜNİTE 2 – LOKAL AĞLAR.............................................................................................. 17 2.1. TOPOLOJİLER ............................................................................................. 17 2.1.1. Fiziksel Topolojiler ............................................................................. 17 2.1.2. Mantıksal Topolojiler............................................................................. 19 2.2. LOKAL AĞ TRANSMİSYONLARI (LAN TRANSMISSIONS) ............................. 19 2.3. LOKAL AĞ CİHAZLARI................................................................................ 19 2.3.1. Ağ Arayüz Kartı (Network Interface Card-NIC) ..................................... 19 2.3.2. Dönüştürücü (Transceiver) ................................................................... 19 2.3.3. Tekrarlayıcılar (Repeaters) ................................................................... 20 2.3.4. Hublar (Hubs)....................................................................................... 20 2.3.5. Köprüler (Bridges) ................................................................................ 20 2.3.6. Anahtarlar (Switches)........................................................................... 20 2.3.7. Yönlendiriciler (Routers) ...................................................................... 21 ÜNİTE 3 – ALT KATMANLAR .......................................................................................... 23 3.1. İLETİŞİM SİSTEMLERİNDE TEMEL SİNYALLER VE GÜRÜLTÜ ........................ 23 3.1.1. Analog ve Dijital Sinyaller ..................................................................... 23 3.2. LOKAL AĞ KABLO ÇEŞİTLERİ ...................................................................... 26 3.2.1. Korunmalı Çift Bükümlü Kablo (Shielded Twisted Pair-STP) .................. 26 3.2.2. Korunmasız Çift Bükümlü Kablo (Unshielded Twisted Pair-UTP) ............ 26 3.2.3. Koaksiyel Kablo (Coaxial Cable) ............................................................ 26 3.2.4. Fiber Optik Kablo (Optical Fiber)........................................................... 26 3.3. ÇARPIŞMA ETKİ ALANLARI ......................................................................... 27 3.4. DATA-LİNK KATMANININ ALT KATMANLARI ............................................... 29 3.5. DATA-LİNK KATMANI PROTOKOLLERİNİN FONKSİYONLARI ....................... 30 3.6. HEKSADESİMAL SAYILAR (HEXADECIMAL NUMBERS) ................................. 32 3.7. MAC ADRESİ (MAC ADDRESSING)............................................................... 33 3.8. PAKETLERİN FRAME YAPIYA DÖNÜŞTÜRÜLMESİ (FRAMING) ...................... 34 3.9. LOKAL AĞ TEKNOLOJİLERİ ......................................................................... 34 3.9.1. Token-Ring ve IEEE 802.5 ..................................................................... 34 3.9.2. Fiber Distributed Data Interface (FDDI) ................................................ 37

2

3.9.3. Copper Distributed Data Interface (CDDI)............................................. 43 3.9.4. Ethernet Teknolojileri ........................................................................... 43 3.9.5. Ağ Dizayn Prosedürü............................................................................. 53 3.9.6. Ana Dağıtım Merkezi (Main Distribution Facility-MDF) ve Ara Dağıtım Merkezi (Intermediate Distribution Facility-IDF) ................................................ 54 3.9.7. Topraklama........................................................................................... 56 3.9.8. Kesintisiz Güç Kaynağı (Uninterruptible Power Supplies-UPS) .............. 56 3.9.9. Ağ Kurulumunda İş Akışı....................................................................... 57 3.9.10. UTP Kablo Bağlantı Çeşitleri ............................................................... 58 ÜNİTE 4 – ÜST KATMANLAR ......................................................................................... 60 4.1. AĞ KATMANI .............................................................................................. 60 4.2. TRANSPORT KATMANI ................................................................................ 65 4.3. OTURUM KATMANI ..................................................................................... 69 4.4. SUNUM KATMANI ....................................................................................... 70 4.5. UYGULAMA KATMANI ................................................................................. 71 ÜNİTE 5 – CISCO IOS.................................................................................................. 73 5.1. YÖNLENDİRİCİ PARÇALARI ............................................................................ 73 5.2. IOS KOMUT SATIRI (COMMAND LINE INTERFACE-CLI) ................................... 73 5.3. SYSLOG MESAJLARI........................................................................................ 79 5.4. YÖNLENDİRİCİ KONFİGÜRASYONU ................................................................ 79 5.5. KONFİGÜRASYON DOSYASI YÖNETİMİ ........................................................... 82 5.6. BAŞLANGIÇ KONFİGÜRASYONU (SETUP MOD) ................................................ 83 5.7. CISCO DISCOVERY PROTOCOL (CDP).............................................................. 86 5.8. IOS DOSYASI YÖNETİMİ................................................................................. 88 ÜNİTE 6 – KÖPRÜLEME VE ANAHTARLAMA...................................................................... 93 6.1. KÖPRÜLEME ................................................................................................... 93 6.2. ANAHTARLAMA............................................................................................... 96 6.2.1. Anahtarlama Metotları .............................................................................. 97 6.3. UZATILMIŞ AĞAÇ PROTOKOLÜ (SPANNİNG TREE PROTOCOL-STP).................. 98 6.3.1. Uzatılmış Ağaç Protokolü Çalışma Sistemi ................................................. 99 6.3.2. Uzatılmış Ağaç Topolojisi Oluşturma ........................................................100 6.3.3. Ağ Topolojisindeki Değişiklikler ...............................................................102 6.4. SANAL LOKAL AĞLAR (Virtual LANs) ..............................................................103 6.4.1. Sanal Lokal Ağ Uygulama Çeşitleri ...........................................................106 6.4.2. Frame Etiketleme (Frame Tagging) ..........................................................106 6.5. ANAHTAR KONFİGÜRASYONU ........................................................................109 6.5.1. Temel IP Konfigürasyonu.........................................................................109 6.5.2. MAC Adres Tablosu ..................................................................................111 6.5.3. Dosya Yönetimi........................................................................................113 6.5.4. Sanal Lokal Ağ Konfigürasyonu ................................................................114 6.5.5. VLAN Trunking Protokol-VTP....................................................................118 6.5.6. VTP Budama (VTP Pruning) .....................................................................119 6.5.7. VTP Konfigürasyonu.................................................................................119 ÜNİTE 7 – TCP/IP PROTOKOLLERİ ................................................................................122 7.1. TRANMİSYON KONTROL PROTOKOLÜ (TRANSMİSSİON CONTROL PROTOCOLTCP).....................................................................................................................122 7.1.1. Data Transferi..........................................................................................123 7.1.2. Multiplexing.............................................................................................124 7.1.3. Hata Telafisi ............................................................................................124 7.1.4. Pencereleme ile Akış Kontrolü..................................................................125 7.2. KULLANICI DATAGRAM PROTOKOLÜ (USER DATAGRAM PROTOCOL-UDP) ......126 7.3. ADRES ÇÖZÜMLEME PROTOKOLÜ (ADDRESS RESOLUTİON PROTOCOL-ARP) ..126

3

7.4. INTERNET KONTROL MESAJ PROTOKOL (INTERNET CONTROL MESSAGE PROTOCOL-ICMP).................................................................................................127 7.4.1. Hedefe Ulaşılamıyor ICMP Mesajı (Destination Unreachable) ...................128 7.4.2. Zaman Aşımı ICMP Mesajı (Time Exceeded) .............................................128 7.4.3. Yeniden Yönlendirme ICMP Mesajı (Redirect) ..........................................129 7.4.4. Yankı İstek ve Cevap ICMP Mesajı (Echo Request and Reply) ...................130 7.5. FTP PROTOKOLÜ (FILE TRANSFER PROTOCOL-FTP) .......................................130 7.6. TFTP PROTOKOLÜ (TRIVIAL FILE TRANSFER PROTOCOL-TFTP)......................130 7.7. INTERNET PROTOKOLÜ (INTERNET PROTOCOL-IP)........................................130 ÜNİTE 8 – IP ve IPX ADRESLERİ VE ADRESLEMELERİ ......................................................132 8.1. IP ADRESİ ve IP ADRESLEME.........................................................................132 8.1.1. Alt Ağlar Oluşturma .................................................................................136 8.1.2. IP Yapılandırması ....................................................................................141 8.2. IP KONFİGÜRASYONU ...................................................................................144 8.2.1. Telnet ......................................................................................................155 8.3. IPX ADRESİ ve IPX ADRESLEME.....................................................................156 ÜNİTE 9 – YÖNLENDİRME PROTOKOLLERİ .....................................................................161 9.1. STATİK YÖNLENDİRME ..................................................................................161 9.2. DİNAMİK YÖNLENDİRME ...............................................................................162 9.2.1. Uzaklık Vektör Yönlendirme Protokolleri ..................................................163 9.2.2. Routing Information Protocol (RIP) ve Interior Gateway Routing Protocol (IGRP)...............................................................................................................169 ÜNİTE 10 – ERİŞİM KONTROL LİSTELERİ.......................................................................178 10.1. STANDART IP ERİŞİM KONTROL LİSTELERİ .................................................181 10.2. GENİŞLETİLMİŞ IP ERİŞİM KONTROL LİSTELERİ .........................................185 10.3. İSİMLİ IP ERİŞİM KONTROL LİSTELERİ .......................................................188 10.4. IPX ERİŞİM KONTROL LİSTELERİ.................................................................190 ÜNİTE 11 – GENİŞ ALAN AĞ (WAN) PROTOKOLLERİ........................................................192 11.1. GENİŞ ALAN AĞ TERMİNOLOJİSİ .................................................................192 11.2. GENİŞ ALAN AĞ BAĞLANTILARI...................................................................192 11.3. GENİŞ ALAN AĞ TEKNOLOJİLERİ .................................................................193 11.3.1. High-Level Data Link Control (HDLC) .....................................................194 11.3.2. Point-to-Point Protocol (PPP) ................................................................195 11.3.3. Frame Relay...........................................................................................198 11.3.4. ISDN (Integrated Services Digital Network) ..........................................215 ÜNİTE 12 – OSPF PROTOKOLÜ .....................................................................................223 12.1. OPEN SHORTEST PATH FIRST (OSPF) TERMİNOLOJİSİ ................................223 12.2. OSPF AĞ TOPOLOJİLERİ ..............................................................................224 12.3. OSPF ÇALIŞMA SİSTEMİ ..............................................................................224 12.3.1. OSPF Komşuluğu....................................................................................225 12.3.2. OSPF Yönlendirme Tablosu Oluşumu ......................................................227 12.4. OSPF KONFİGÜRASYONU .............................................................................228 12.5. NBMA TİPİ AĞDA OSPF KONFİGÜRASYONU .................................................231 12.6. OSPF KONFİGÜRASYONU İNCELEMESİ .........................................................236

13.1. KOMUT ÖZETLERİ .............................................................................................................240

4

ÖNSÖZ Günümüzde hızla gelişen teknoloji günlük hayatımızda alışageldiğimiz bir çok şeyi değiştirerek kolaylaştırmaktadır. Geliştirilen yazılımlar ile artık iş dünyasındaki birçok prosedürler daha hızlı yapılabilmekte, kontrol mekanizması daha sağlıklı işlemektedir. Cep telefonu, dizüstü bilgisayarlar ve PDA cihazları ile gerek kişisel hayatımız gerek iş dünyamızda bize birçok imkanlar sunmaktadır. Şirketlerimiz şubeleriyle veya iş ortaklarıyla artık aynı ortak bilgi kaynaklarını kullanarak iş akışlarını hem hızlandırmakta hem de kontrolünü daha güvenli hale getirmektedir. Bilişim dünyasının yazılım ve donanım tarafındaki gelişimleri birbirlerini desteklemekte ve birlikte üretilen çözümler her geçen gün hayatımıza olumlu yansımaktadır. Ağ teknolojilerinde son yıllarda geliştirilen çok başarılı çalışmalar en az yazılım ve son kullanıcı tarafındaki donanım (dizüstü bilgisayar, masaüstü bilgisayar, sunucu, cep telefonu, PDA, kablosuz el terminalleri vb.) dünyasındaki gelişmeler kadar hayatımıza etki etmektedir. Bugün zannediyorum birçoğumuz cep telefonsuz ve Internetsiz bir hayatın çok zor olduğunu düşünmekteyiz. Hatta 20 yaşın altındaki gençler belki de hayatın anlamsız olduğunu bile düşünebilirler. Üniversite kampüsünde kablosuz olarak üniversite ağına ve Internete erişim sağlanabildiğini, birçok şirketin yurtiçi ve yurtdışı şubeleriyle kendi ağlarını kurup aynı bilgi kaynaklarını kullandıklarını, sahada çalışan şirket temsilcilerinin mobil cihazlarla kolaylıkla şirket kaynaklarına ulaşarak ofiste yapabildikleri birçok şeyi yapabildiklerini, kendi ağlarını kullanarak telefon ve video konferans görüşmeleri yapabildiklerini gibi daha onlarca örnek verilebilecek bir çok kolaylığın aslında hayatımızda olduğunu hepimiz bilmekteyiz. Bütün bu imkanları temelde bize ağ teknolojileri (networking) sunmaktadır. Ülkemiz gerek genç nüfusun yoğun olması gerekse teknolojiye kolay adapte olabilen bir karakteristiğinin olmasından dolayı yeni teknolojileri çok yakından takip etmekte ve kullanmaktadır. Fakat bu teknolojileri geliştirme veya yön verme konusunda aynı başarıyı göstermediğimiz de açıktır. Yazılım teknolojileri konusunda son yıllarda ciddi başarılar elde edilmiş fakat donanım teknolojileri konusunda yeterli bir başarı yakalanamamıştır. Bu konuda da sektörde ümit verici gelişmeler olmaktadır. Teknoloji dilinin çok baskın şekilde ingilizce olması genç nüfusun takibini zorlaştırmaktadır. Ülkemizde şu günlerde gündemde olan ara elemanların yapabilecekleri birçok operasyonu maalesef sektörde mühendisler yapmaktadır. Mühendislerin yaratıcı yönleri kullanılmadığından ARGE çalışmaları da yapılmamaktadır. Bu kitabın yazılma amacı da bu açığı kapatmak için yapılan küçük bir çalışmadır. Kitap, yabancı dili olmayan, ağ teknolojilerine merak duyan ve bu konuda çalışmak isteyen kişilere yönelik yazılmıştır. Bu kitabın içeriği aynı zamanda bilişim sektöründe satış pozisyonunda olan ve şirketlerde sistem mühendisi pozisyonunda olup ağ teknolojileri konusunda az da olsa bilgi edinmek isteyenlere yardımcı olabilecektir. Ağ teknolojilerinde global olarak baskın olan Cisco teknolojisi referans olarak alınmıştır. Birçok üretici aynı standart ve protokolleri kullandığından dolayı okuyucu sadece ürünlerin konfigürasyonunda farklılıklarla karşılaşacaktır. Her üreticinin ürünlerinin konfigürasyonu hakkında bir çalışma yapmak gerçekten çok zordur. Yaklaşık 1,5 yıldır çalışmanın sonucunda ortaya çıkan bu çalışma siz okuyuculara ağ teknolojileri dünyasına bir kapı açabilme amacını taşımaktadır. Özgün bir çalışma olmasına dikkat ettiğim bu kitabın gerek teknik anlamda gerekse kullanılan dil anlamında eksikleri olabilecektir. Bu konuda hangi seviyede okuyucu olursa olsun anlayışla eleştiri ve önerilerinizi benimle paylaşırsanız ben de düzeltme imkanı bulurum. Bir kitap yazmanın, özellikle teknik bir kitap yazmanın kolay olmadığını itiraf etmeliyim. Bu konuda desteğini benden hiç esirgemeyen ve cesaret veren sözlerinden dolayı eşim Emra’ya teşekkür borçluyum. Umarım kendisinin desteği sayesinde oluşan bu kitap başarılı bir çalışma olarak okuyucudan destek görür. Ayrıca bu kitabı yazma fikrini bende oluşturan ve cesaret

5

veren Seyit Ali SERBEST’e gönülden teşekkür ederim. Profesyoneller dünyasında oluşturduğu ortamla girişimcilik, paylaşımcılık ve üretkenlik ruhunu aşılayan Gelişim Platformu çalışanlarına desteklerinden dolayı şükranlarımı sunarım. Bu kitabın yayınlanmasındaki katkılarından dolayı da Mayasoft yöneticilerinden Mesut ALADAĞ ve Yasin AŞIR beylere teşekkür ederim. Kitabın içeriği ağ teknolojileri dünyasının sadece bir başlangıcıdır. Kitap okuyucusu, bu kitapta incelenen bütün konuların daha derin bir şekilde incelenmesi gerektiğinin farkında olması gerekir. 12 farklı ünitede işlenen konular, aslında sırasıyla birbirlerini tamamlayıcı konuları içermektedir. 1.nci ünitede ağ teknolojilerinin teorik altyapısı ve bu altyapıya karşılık gelen ürünler ve standartlar anlatıldı. Bu ünitede anlatılan bütün teorik konular mutlaka kavranmalıdır. Aksi takdirde diğer üniteleri anlamak çok daha zorlaşacaktır. 2.nci ünitede ağ tasarımlarının metodolojisi, temel ağ cihazlarını ve karşılık geldikleri OSI katmanı incelendir. Burada hem ağ teknolojilerinin gelişimi ve cihazların her yeni buluşta nasıl daha kompleks ağ yapılarının oluşumuna katkıda bulunduğu farkedilmelidir. 3 ve 4.ncü ünitelerde OSI modelindeki katmanların çalışma şekli, bu katmanların kullandıkları teknolojiler ve standartlar incelendi. Geliştirilen her bir teknolojinin ağ tasarımındaki etkileri incelendi. 5.nci ünitede ağ teknolojilerinin en önemli cihazlarından biri olan yönlendiricinin donanım ve üzerinde çalışan işletim sistemi Cisco teknolojisi referans alınarak incelendi. Yönlendirici üzerindeki donanım parçalarının fonksiyonları ve komut satırı tabanlı çalışan işletim sistemindeki komut yazma şekli anlatıldı. 6.ncı ünitede ağ teknolojilerinin diğer önemli bir cihazı olan anahtar üzerinde yapılabilecek konfigürasyondan bahsedilmiştir. Lokal ağlarda oluşabilecek döngüleri önlemek için kullanılan STP teknolojisi incelenmiştir. Ayrıca günümüzde çok yaygın olarak kullanılan Sanal Ağ (VLAN) teknolojisi üzerinde durulmuştur. 7 ve 8.nci ünitelerde günümüz ağ teknolojilerinin en önemli konusu olan TCP/IP teknolojısının yapısı, çalışma prensipleri ve adresleme metodojolosi detaylı bir şekilde incelenmiştir. Bu ünitelerin öğrenilmesi halinde diğer konular çok daha anlaşılacaktır. 9.ncu ünitede temel konuların ötesine geçip çok daha geniş ağların yönetimi için gerekli olan yönlendirme standartları incelenmiştir. Bu konular aslında daha derin ağ teknolojilerine hazırlık cinsindendir ve mutlaka anlaşılmalıdır. 10.ncu ünitede ağ erişiminin güvenliğini sağlamak maksadıyla kullanılan erişim kontrol listeleri incelenmiştir. Temel bazı presipler anlatılmış fakat daha detay bilgiler için farklı kaynaklara başvurmak gereklidir. 11.nci ünitede coğrafi olarak dağıtık yapıdaki ağlarda kullanılan teknolojilerin yapısı ve çalışma prensipleri örnekler verilerek incelenmiştir. Bu konu hakkında da daha detaylı bilgiler için mutlaka başka kaynaklara başvurulmalıdır. 12.nci ünitede geniş ağlarda trafik yönetimi için kullanılan OSPF teknolojisi ve çalışma prensipleri hakkında başlangıç seviyesinde bilgiler verilmiştir. Daha detay bilgiler bu kitabın amacını aştığı için, ilgilenenler başka kaynaklara başvurmalıdırlar.

6

Umarım okuyacağınız bu kitap sizlere mesleğinizde ve kariyerinizde küçük de olsa katkıdda bulunur. Başarı dileklerimle; Hulusi TURGUT Haziran 2004

7

8

ÜNİTE 1 – OSI REFERANS MODELİ VE KATMANLI İLETİŞİM 1.1

HİYERARŞİK AĞ MODELİ

Ağ mühendisleri, ağın dizayn edilmesini, kuruluşunu ve yönetimini kolaylaştırmak için hiyerarşik ağ modelini kullanırlar. Ağı kuran ve yöneten kişiler genellikle farklı olduğundan dolayı ağ dizaynı herkes tarafından anlaşılabilir bir şekilde modellenmesi önemlidir. Ağ kurulumları yapan mühendisler, dizayn edilen ağa hangi özelliklerde cihazların yerleştirileceğini belirleyebilmek için ağın dizaynını anlayabilmelidirler. Aynı şekilde ağ yöneticileri de kurulan ağı yönetirken çıkan aksaklıkları hemen giderebilmek için ağın dizaynını ve kullanılan cihazları bilmelidirler. Kullanıcıların farklı talepleri ve ağ üzerinde kullanılan karmaşık uygulamalar, ağ mühendislerini ağ kurarken belli bir strateji takip etmelerine zorlamıştır. Günümüzde özellikle büyük ağlarda kullanılan ortak uygulamalar ve bu uygulamaların ağın yoğunluğuna direkt etki etmesi, daha etkin bir yönlendirme (routing) ve anahtarlama (switching) tekniklerinin kullanılmasını gerektirmektedir. Bütün bunlar ağdaki son kullanıcının ihtiyaç duyduğu servislerin gruplanması ve bu servisleri sağlayacak sunucuların doğru konuşlandırılmasının gözetildiği bir stratejinin takip edilmesini gerektirir. 3-katmanlı hiyerarşik model bunları sağlamaktadır. Bu katmanlar şunlardır; • • •

Erişim Katmanı (Access Layer) Dağıtım Katmanı (Distribution Layer) Ana Katman (Core Layer)

Ana Katman (Core Layer)

Dağıtım Katmanı (Distribution Layer)

Erişim Katmanı (Access Layer)

Şekil 1.1 (Hiyerarşik Ağ Modeli) Erişim Katmanı (Access Layer): Erişim Katmanı, son kullanıcının ağa bağlandığı noktadır. Bu katmanda son kullanıcılardan oluşan bir grup ve onların kaynakları bulunur. Bu genelde hub’a bağlı bir grubun anahtara bağlanması şeklinde olur. Bu katmanda anahtarlar kullanılır. Dağıtım Katmanı (Distribution Layer): Dağıtım Katmanı, yönlendirme (routing), filtreleme (filtering) ve geniş alan ağa (WAN) giriş işlevlerini yapan cihazların bulunduğu katmandır. Bu

9

katmanda kullanılan cihazlarla, hangi paketlerin alınacağı ve gönderileceği belirlenir ve farklı yapılardaki ağlar birbirlerine bağlanır. Bu katmanda yönlendiriciler kullanılır. Ana Katman (Core Layer): Ana Katman, son kullanıcının gönderdiği ve Dağıtım Katmanında belirlenen politikalardan süzülerek gelen paketleri mümkün olduğunca hızlı bir şekilde yönlendirilen yere ulaşmasını sağlar. Bu katmanda çok-katmanlı (multi-layer) anahtarlar kullanılır. 1.2

(OPEN SYSTEMS INTERCONNECTION) OSI MODELİ

1980’li yıllarla birlikte çok hızlı şekilde şirketler belli işlevleri yapabilmek için bilgisayarları kullanmaya ve hem yazılım hem de donanım olarak farklı yapılarda ağlar kurmaya başladılar. Fakat bilgisayar ağları büyüdükçe bu ağları yönetmek, sorunları çözmek ve tüm ağ içerisinde iletişimi sağlamak imkansız hale geldi. Uluslararası Standartlar Organizasyonu (The International Organization for Standardization (ISO)) birçok farklı ağ yapılarını inceleyerek 1984 yılında ağ içinde iletişimin sağlanabilmesi için OSI referans modelini açıkladı. Böylelikle bütün donanım ve yazılım firmaları bu standarda uygun ürünler üretmeye başladılar. Bu model günümüzde birçok farklı donanım ve yazılıma sahip bilgisayarların birbirleriyle iletişimini mümkün hale getirmiştir. OSI modelinde bilgisayarların iletişimi belli katmanlara ayrılmıştır. Örneğin; İstanbul’da okuyan bir üniversite öğrencisi olduğunuzu düşünün. Aileniz ile sadece mektupla haberleşebiliyorsunuz. Annenizin de ayrılmadan önce sık sık kendilerine mektup yazmanızı istediğini düşünün. Ailenize mektup yazmanız onlarla iletişime geçtiğiniz anlamına gelmez. Belli adımları takip etmeniz gerekir. Herkes bilir ki mektup bir zarfa konur. Sonra zarfın sol üst tarafına gönderenin ismi ve adresi yazılır. Sağ alt köşeye de gönderilecek kişinin ismi ve adresi yazılır. Hatta posta kodu yazmak da gereklidir. Böylelikle posta işlemi daha kolay gerçekleşir. Mektubunuz için bu işlemi yapmak da yeterli değildir. Mektubu postaneye verirsiniz. Postanedeki yetkililer önce mektupları illere göre ayırır. Eğer mektup başka bir ülkeye gidecekse ülkelere göre ayırır. Sonra belli iller farklı kamyonlara yüklenerek gönderilir. Her kamyon ayrı illerin mektuplarını taşır ve o ilin postanesine teslim eder. Gönderilen ilin postanesinde de ilçelere, sonra mahallelere ve apartmanlara göre ayrılan mektuplar farklı kişilerce mektup üzerinde yazan adrese teslim edilir. Görüldüğü gibi bizim bildiğimiz ama hiç önemsemediğimiz posta işlemi bile belli bölümlere ayrılmıştır. Yani kurallar konmuştur. İşte bilgisayarlar arası iletişim de bundan farksızdır. Bilgisayarlar arası iletişimde aynı postada olduğu gibi gönderen ve gönderilen adres bilgisi vardır. Gönderen bilgisayar, bilgileri belli kurallara uyarak elektrik sinyalleri haline dönüştürerek kablo üzerine bırakır. Gönderilen bilgisayar ise aynı kuralları tersine kullanarak kablo ile kendisine ulaşan bilgileri anlayacağı şekle dönüştürür. Bu kurallar biraz önce bahsettiğimiz OSI modeliyle belirtilmiştir. Hiçbir karmaşa olmadan iletişim sağlanır. İleride çok karşılaşacağınız bir kavram olan ağ ortamı (medium veya çoğulu media) üzerinde duralım. Ağ ortamı, bilgisayarların gönderecekleri datanın üzerinde gideceği maddeye denir. Yani kablolardır. Bu kablolardan bazıları UTP, STP, koaksiyel kablo ve fiber kablodur. Nasıl ki karşılıklı konuşan iki insanın anlaşabilmesi için aynı dili bilmeleri gerekiyorsa, bilgisayarların da anlaşabilmeleri için aynı dilden konuşmaları gerekmektedir. Eğer iki insan farklı dilleri konuşuyorlarsa mutlaka konuşmaları tercüme edecek bir tercümana ihtiyaç duyarlar. Bilgisayarlar da farklı dilleri konuşuyorlarsa onlar da tercümana ihtiyaç duyacaklardır. Bilgisayarların tercümanı yönlendiricilerdir (router). Aslında dil, insanların iletişim kurabilmeleri için çıkarttıkları seslerin kurallar kümesidir. Bilgisayarların iletişim kurabilmeleri için konulan kurallar kümesine protokol (protocol) denmektedir.

10

1.3

NİÇİN KATMANLI AĞ MODELİ ?

Bilgisayarların iletişiminde belli bir standardın olması konusunda şüphe yok ama “Bu model katman katman olmak zorunda mıdır?” diye soru kafanıza takılabilir. Posta sisteminin işleyiş biçimi aslında iletişimi ne kadar kolaylaştırdığını açıklıyor. Katmanlı ağ modelinin sağladığı kolaylıklardan bazıları şunlardır; • • • • • • 1.4

Karmaşıklığı azaltarak insanların belli katmanların işlevlerine yoğunlaşarak uzmanlaşmasını sağlar. Farklı donanım ve yazılım ürünlerinin birbirleriyle uyumlu çalışmasını sağlar. Modüler mühendisliği kolaylaştırarak farklı uzmanlığı olan mühendislerin işbirliği yapmasını ve görev paylaşımını kolaylaştırır. Bir katmanda yapılan değişiklikler diğer katmanları etkilemez. Katmanların işlevlerinin öğrenilmesini ve öğretilmesini kolaylaştırır. Farklı katmanların farklı işlevlerinin olması problemlerin tespitini ve çözümünü kolaylaştırır.

7 KATMANLI OSI MODELİ

OSI Modeli, toplam yedi katmandan oluşmaktadır. Her katman bilgisayarlar arası iletişimde farklı görevleri yerine getirirler. Kullanıcıya yakın olan üç katman üst katmanlar, bilgisayarın donanımına yakın olan dört katman alt katmanlar olarak adlandırılır. Katmanlar şunlardır; • • • • • • •

Katman Katman Katman Katman Katman Katman Katman

7 6 5 4 3 2 1

(Uygulama Katmanı) (Sunum Katmanı) (Oturum Katmanı) (Nakil Katmanı) (Ağ Katmanı) (Data Link Katmanı) (Fiziksel Katman)

(Application Layer) (Presentation Layer) (Session Layer) (Transport Layer) (Network Layer) (Data Link Layer) (Physical Layer)

Üst Katmanlar, Uygulama, Sunum ve Oturum Katmanlarıdır. Alt Katmanlar ise Nakil, Ağ, Data Link ve Fiziksel Katmanlardır. Üst Katmanların işlevlerini yazılımlar sağlamaktadır. Alt Katmanların işlevleri ise bilgisayarın ve ağda kullanılan cihazların donanımları ve donanımlar üzerindeki yazılımlar tarafından yapılmaktadır. 1.4.1.

Katman 7 – Uygulama Katmanı (Application Layer)

Kullanıcıya en yakın olan ve kullanıcının bilgisayarla etkileşim içinde olduğu katmandır. Diğerlerinden farklı olarak diğer katmanlara herhangi bir servis sağlamaz. Kullanıcının çalıştıracağı uygulamalara ağ servislerini sağlar. Bu katman iletişim kuracağı bilgisayarın iletişime hazır olup olmadığını tespit eder, iletişimi senkronize eder. Kullanılan uygulamalardan bazıları şunlardır; 9 9 9 9 9 9 9

Telnet http ftp www göz atıcıları (browser) NFS SMTP gateway (Eudora, cc:mail) SNMP

11

9 9 1.4.2.

X.400 mail FTAM

Katman 6 – Sunum Katmanı (Presentation Layer)

Bilgisayarlar arası iletişimde gönderilecek datanın, datayı alacak bilgisayar tarafından da anlaşılabilmesi için datanın ortak bir formata dönüştürüldüğü katmandır. İletişimi gerçekleştirecek olan bilgisayarların farklı yazılımlara sahip olduğunu düşündüğünüzde bu işlevin önemi anlaşılmaktadır. Ayrıca bu katmanın işlevleri arasında iletişimin güvenli olması için datanın şifrelenme işlemi de bulunmaktadır. Formatların bazıları şunlardır; 9 9 9 9 9 9 9 9 9 1.4.3.

JPEG ASCII EBCDIC TIFF GIF PICT MPEG MIDI Şifrelenme (Encryption)

Katman 5 – Oturum Katmanı (Session Layer)

İletişim kuran bilgisayarların uygulamalar arasındaki oturumu kurar, yönetir ve sona erdirir. Böylelikle iki bilgisayar arasında birden fazla uygulama çalıştırılır ve bunlar birbiriyle karıştırılmaz. Bu katmanda kullanılan servislerden bazıları şunlardır; 9 9 9 9 9 9 1.4.4.

RPC SQL NFS Netbios adları AppleTalk ASP DECnet SCP

Katman 4 – Nakil Katmanı (Transport Layer)

Nakil Katmanı, gönderilecek datanın bozulmadan güvenli bir şekilde karşı taraftaki bilgisayara ulaştırılmasından sorumludur. Bu katman iletişim kurmak isteyen bilgisayarların sanal olarak iletişim kurmalarını, bu iletişimin yönetimini ve iletişimin sona erdirilmesini sağlar. Üst katmanlardan gelen her türlü bilgi Nakil Katmanı tarafından karşı tarafa ulaştırılır. Nakil Katmanına ulaşan data güvenli bir şekilde hedef bilgisayara ulaştırılması için parçalara ayrılır. Bu parçalara segment denir. Ayrıca gönderilen datanın karşı tarafa bozulmadan güvenli bir şekilde ulaşıp ulaşmadığını kontrol eder. Eğer data karşı tarafa ulaşmamışsa datanın tekrar gönderilmesini sağlayacak mekanizmayı da yönetir. Bütün bu işlevleri yerine getiren protokollerden birkaçı şunlardır; 9 TCP 9 UDP 9 SPX 1.4.5.

Katman 3 – Ağ Katmanı (Network Layer)

12

İletişim kurmak isteyen iki bilgisayarın birbirlerinin yerlerini tespit etmelerini sağlamak için mantıksal ve hiyerarşik adresleme yapılması gerekmektedir. Ayrıca mantıksal adrese sahip bilgisayarların büyük ağlarda iletişim kurabilmeleri için en kısa yolu bulmak zorundadırlar. En kısa yolu bulma işlemine yönlendirme (routing) denir. Ayrıca gönderilecek datanın ağ ortamına (medium) en uygun ölçülerde olacak şekilde 4.ncü katmanda segmentlere ayrılan datanın bu katmanda paketlere (packet) dönüştürülmesi gerekmektedir. Her ağ ortamının maksimum taşıyabileceği trafiğe Maksimum Transfer Birimi (Maximum Transfer Unit-MTU) denir. Kullanılan protokollerden bazıları şunlardır; 9 9 9 9 9 9 1.4.6.

IP IPX AppleTalk DDP ARP RARP ICMP

Katman 2 – Data Link Katmanı (Data Link Layer)

Data Link Katmanı fiziksel ağ ortamı üzerinde datanın nasıl taşınacağını tanımlar. Ayrıca fiziksel adreslemeyi de tanımlar. Fiziksel adrese Media Access Control-MAC adresi denir. Bu katman iki alt katmandan oluşur. Bunlar; Media Access Control-MAC (802.3) ve Logical Link Control-LLC (802.2)’dır. Bu katmanlar hakkında detaylı bilgi daha sonra verilecektir. 3.ncü katmanda paketlere dönüştürülen data, bu katmanda artık fiziksel ortama aktarılmadan önce son kez işlem görerek frame yapılara dönüştürülür. Bu katmanda kullanılan protokollerden bazıları şunlardır; 9 9 9 9 9 9 9 1.4.7.

IEEE 802.3/802.2 HDLC Frame Relay PPP FDDI ATM IEEE 802.5/802.2

Katman 1 – Fiziksel Katman (Physical Layer)

Fiziksel Katman, artık frame yapılara dönüştürülmüş datanın dijital rakamlara (yani 1 ve O) dönüştürülerek fiziksel ortama aktaracak katmandır. Bu katmanda fiziksel iletişimin elektriksel, mekanik, prosedürsel ve fonksiyonel özelliklerinin, fiziksel iletişimin başlatıldığı, yönetildiği ve bitirildiği protokollerin tanımlandığı katmandır. Bu özelliklerden bazıları voltaj seviyesi, fiziksel data gönderim hızı, maksimum transfer mesafesi ve konnektörlerdir. Kullanılan standartlardan bazıları şunlardır; 9 9 9 9 9 9 9 9 9 9

EIA/TIA-232 V.35 EIA/TIA-449 V.24 RJ45 FDDI Ethernet NRZI NRZ B8ZS

13

1.5.

KATMANLAR ARASI İLETİŞİM VE DATA KAPSÜLLENMESİ (DATA ENCAPSULATION)

İletişim kuran iki bilgisayar arasındaki iletişimin nasıl gerçekleştiğinden bahsedelim. Yukarıda anlatılanları hemen hafızanızda canlandırın. Bir arkadaşınıza bir dosya göndereceksiniz. Göndereceğiniz dosyayı bir yazılım kullanarak (Örneğin MSN Messenger) gönderirsiniz. Göndereceğiniz bu dosya 7.nci katmanın işlevini yapan FTP protokolü tarafından dataya dönüştürülür. Daha sonra dosyadaki yazılar, şekiller ve fotoğraflar 6.ncı katmanda çalışan ASCII ve GIF gibi standartlar tarafından ortak bir formata dönüştürülür. 5.nci katmana gelen ve ortak bir formata dönüşmüş olan datanın gönderilmesi için bu katmanda kullanılan bir protokol yardımıyla oturum numarası verilir ve karşı taraftaki bilgisayarla iletişim için sanal oturum açılır. 4.ncü katmana iletilen data artık donanıma aktarılmaya hazır hale getirilecektir. Üst katman diye tanımladığımız Uygulama, Sunum ve Oturum katmanlarında daha çok yazılım ağırlıklı protokoller çalışır. 4.ncü katmandan başlayarak datanın gönderileceği yere hazır hale getirilmeye başlanır. Bu amaçla gönderilecek data daha önce de bahsettiğimiz üzere segmentlere ayrılır. Nakil başlığı (transport header) segmente eklenir ve ağ katmanına aktarılır. Ağ katmanı da ağ başlığını (network header) ekleyerek datayı pakete dönüştürür. Bu ağ başlığında kaynak ve hedef bilgisayarın mantıksal ağ adresi vardır. 2.nci katmana gelen paketlere aynı şekilde kaynak ve hedef MAC adresleri eklenir. Bu bilgiler pakete data link başlığı ve kuyruğu (data link header and trailer) şeklinde eklenerek frame yapısına dönüştürülür. Frame fiziksel katmana geldiğinde dijital sayılara dönüştürülerek ağ ortamına aktarılır. Gönderilen hedef bilgisayar ile kaynak bilgisayar arasında anahtar (switch) varsa gelen frame yapılar aynı şekilde fakat tersten 2.nci katmana kadar işlem yapılır. Yani anahtarlar 2.nci katmandaki başlığı okur ve frame yapıdaki yazılı olan hedef bilgisayarın MAC adresine göre kendi MAC tablosuna bakarak yönlendirir. Eğer kaynak ve hedef bilgisayarlar arasında yönlendirici (router) varsa yine gelen frame aynı metodla 3.ncü katmana kadar işlem yapılır. Yönlendirici de paketteki başlığı okuyarak hedef bilgisayarın mantıksal adresini okur ve kendinde bulunan mantıksal adres tablosuna bakarak en kısa yolu bulup paketi yönlendirir. Hedef bilgisayara ulaşan frame yapı kaynak bilgisayarda yapılan işlemin aynısı fakat ters şekilde işleme sokulur. Dijital rakamlar frame yapıya dönüştürülür. Frame üstündeki data link başlığı ve kuyruğu çıkartılarak 3.ncü katmana iletilir. Burada da paket üstündeki ağ başlığı çıkartılarak nakil katmana, bu katmanda nakil başlığı çıkartılarak üst katmanlara aktarılır. Aynı işlemler yapılarak uygulama katmanına ulaşan data sizin gönderdiğiniz dosya aynı şekilde hedef bilgisayardaki kullanıcıya sunulur. Böylece iki bilgisayar arasındaki iletişim yapılmış olur. Uygulama Katmanı

Data

Data

Uygulama Katmanı

Sunum Katmanı

Sunum Katmanı

Oturum Katmanı

Oturum Katmanı

Nakil Katmanı

Nakil Katmanı

Ağ Katmanı

Data

Data

Ağ Katmanı

Data-Link Katmanı

Data

Data

Data-Link Katmanı

Fiziksel Katman

1000111010100010

1000111010100010

Fiziksel Katman Dosyanı bekliyorum

Sana bir dosya gönderiyorum

Şekil 1.2 (Data Kapsüllenmesi)

14

Yukarıda anlatılan kaynak bilgisayarın yaptığı datanın dijital sayılara dönüştürme işlemine bilgi kapsüllenmesi (Data Encapsulation) denir. Hedef bilgisayarın ise dijital sayıları dataya dönüştürme işlemine bilgi ayrıştırması (Data De-encapsulation) denir. Katmanlar arası iletişimde dikkat edilirse sadece tek bir katman hariç diğerlerinin hepsi hedef bilgisayardaki ters dönüşümden dolayı bir üsttekine hizmet vermek zorundadır. Yani 1.katman 2.nci katmana, 2.nci katman 3.ncü katmana gibi diğer alt katmanlar kendinin bir üstündeki katmana servis sağlamak zorundadır. Fakat uygulama katmanının böyle bir zorunluluğu yoktur. Ayrıca katmanlar arası iletişimde katmanlar Protokol Bilgi Birimini (Protocol Data Unit-PDU) kullanırlar. Yukarıda bahsedildiği üzere bu birimler şunlardır; 9 9 9 9 1.6.

Nakil Katmanı Ağ Katmanı Data Link Katmanı Fiziksel Katman

-

Segment Paket Frame Dijital Sayılar

TCP/IP MODELİ

Amerikan Savunma Bakanlığı, ISO tarafından oluşturulan OSI Referans Modeli yayınlanmadan daha önce Amerikan ordusunun savaş halinde bile farklı yapılardaki ağların birbirleriyle iletişiminin kesilmemesi için TCP/IP modelini oluşturdu. Bu model daha sonra ISO araştırmacıları tarafından referans kabul edilerek daha genel bir standart olan OSI modeli oluşturuldu. Savaş anında kablo, mikrodalga, fiber optik kablo ve uydu iletişimini kullanan farklı yapılardaki ağlarla iletişimin devamlılığını sağlamak çok zordu ve bu problemin çözümüyle bugün Internet dediğimiz dünyadaki en büyük ağ ortaya çıkmış oldu. Internetin başından bu yana iletişim standardı olarak TCP/IP protokolü kullanılmaktadır. TCP/IP modeli 4 katmandan oluşmaktadır. Bu katmanlar şunlardır; • • • •

Katman Katman Katman Katman

4 3 2 1

- Uygulama Katmanı – Nakil Katmanı – Internet Katmanı – Ağ Giriş Katmanı

(Application Layer) (Transport Layer) (Internet Layer) (Network Access Layer)

Bu katmanların bazıları OSI modelindeki bazı katmanların isimleriyle aynı olmasına rağmen işlevleri farklıdır. İşlevleri karıştırmamaya özen gösterilmelidir. 1.6.1.

Katman 4 – Uygulama Katmanı (Application Layer)

OSI Modelindeki üst katmanların, yani Uygulama, Sunum ve Oturum katmanlarının işlevlerinin tümünü yapmaktadır. Çalıştırılan uygulamayı ilgilendiren ortak formata dönüştürme, oturum açma türü işlemler bu katmanda yapılmaktadır. 1.6.2.

Katman 3 – Nakil Katmanı (Transport Layer)

Nakil katmanı servis önceliği (the quality of service), güvenli bilgi aktarımı (reliability), akış kontrolü (flow control) ve hata doğrulanması (error correction) gibi işlevlerinin yapıldığı katmandır. Bu katmanda TCP ya da UDP protokollerinden biri kullanılır. 1.6.3.

Katman 2 – Internet Katmanı (Internet Layer) Bu katman kaynak bilgisayar tarafından gönderilen datanın büyük bir ağda hedef

15

bilgisayara ulaşmasını sağlayacak en kısa yolu bulup datayı hedefe ulaştırmaktır. Bu katmanda IP protokolü kullanılmaktadır. 1.6.4.

Katman 1 – Ağ Giriş Katmanı (Network Access Layer)

Bu katman OSI modelindeki Data Link ve Fiziksel katmanların işlevlerinin tümünü yapmaktadır. Fiziksel hat ile ilgili standartlar bu katmanda kullanılır. Bu katmana ayrıca kullanıcı-ağ katmanı (host-to-network) da denmektedir.

16

ÜNİTE 2 – LOKAL AĞLAR 2.1.

TOPOLOJİLER Ağ yapısına topoloji denir. İki türlü topoloji vardır. • •

Fiziksel Topoloji Mantıksal Topoloji

Fiziksel Topoloji, ağda kullanılan kabloların fiziksel olarak nasıl bağlandıklarını gösteren yapıdır. Mantıksal Topoloji, kullanıcıları ağ ortamına çıkarmak için kullandıkları cihazların teknolojileridir. 2.1.1.

Fiziksel Topolojiler Fiziksel Topolojiler 6 çeşittir. Bunlar; • • • • • •

Bus Topoloji (Bus Topology) Halka Topoloji (Ring Topology) Yıldız Topoloji (Star Topology) Genişletilmiş Yıldız Topoloji (Extended Star Topology) Hiyerarşik Topoloji (Hierarchical Topology) Karmaşık Topoloji (Mesh Topology)

Bus Topoloji (Bus Topology): Tek bir omurga segmente bütün bilgisayarların bağlandığı topolojidir. Bilgisayarlar arasındaki bağlantının tek bir yerindeki kesiklik bütün bir ağı etkiler. Bağlantının kesik olduğu yerden ağ ikiye ayrılmış olur ve ayrık ağ parçaları kendi içerisindeki iletişimini sürdürürken ağ parçaları arasındaki iletişim kesilmiş olur.

Şekil 2.1 (Bus Topoloji) Halka Topoloji (Ring Topology): Bir bilgisayarın bir sonraki bilgisayara, onun da kendisinden sonraki bilgisayara ve en son bilgisayarın da ilk bilgisayara bağlanarak halkanın oluşturulduğu topolojidir. Bilgisayarlar arasındaki bağlantıda oluşacak aksaklık bütün bir ağı etkilemektedir.

17

Şekil 2.2 (Halka Topoloji) Yıldız Topoloji (Star Topology): Bütün bilgisayarların tek bir merkeze bağlanarak oluşturulan topolojidir. Genellikle merkezde hub veya switch denilen cihazlar kullanılır. Bu topolojide, bağlı bilgisayarlardan birinin ağ bağlantısında oluşacak bir problem sadece o bilgisayarı etkiler, diğer ağ üyelerini etkilemez. Fakat merkezdeki hub veya anahtarda oluşacak problem bütün ağ içindeki iletişimi etkiler.

Şekil 2.3 (Yıldız Topoloji) Genişletilmiş Yıldız Topoloji (Extended Star Topology): Yıldız topolojiye sahip küçük ağların yine aynı şekilde yıldız yapıda hub veya anahtarların kullanılarak ağın genişletildiği topolojidir.

Şekil 2.4 (Genişletilmiş Yıldız Topoloji) Hiyerarşik Topoloji (Hierarchical Topology): Genişletilmiş Yıldız Topoloji gibi küçük yıldız topolojideki ağların hiyerarşik bir şekilde birbirine bağlandığı ve bütün ağın, trafiği kontrol etmek üzere bir bilgisayara bağlandığı topolojidir.

Şekil 2.5 (Hiyerarşik Topoloji) Karmaşık Topoloji (Mesh Topology): Ağdaki bütün uçların birbirine bağlandığı ve ağ üzerindeki hiçbir ucun arasında fiziksel bağlantının kopuk olmadığı topolojidir.

18

Şekil 2.6 (Karmaşık Topoloji) 2.1.2.

Mantıksal Topolojiler İki çeşit Mantıksal Topoloji vardır. Bunlar; • Geniş Yayın Topoloji (Broadcast Topology) • Jeton Gezici Topoloji (Token-Passing Topology)

Geniş Yayın Topoloji (Broadcast Topology): Ağda bulunan her bilgisayar belli bir öncelik hakkı tanınmaksızın, ağdaki bütün bilgisayarlara data göndermek üzere ağ ortamına data bırakabilirler. İlk gönderen, ilk servisi alır (first come, first served) mantığıyla çalışır. Jeton Gezici Topoloji (Token-Passing Topology): Ağa elektronik bir jeton bırakılır. Bu jeton bütün bilgisayarları sırayla gezer. Bilgisayar jetonu aldığı zaman data gönderebilir demektir. Gönderecek data yoksa jetonu sıradaki bilgisayara gönderir. 2.2.

LOKAL AĞ TRANSMİSYONLARI (LAN TRANSMISSIONS) 3 çeşit lokal ağ transmisyonları vardır. Bunlar; • • •

Tekli Yayın (Unicast) Çoklu Yayın (Multicast) Geniş Yayın (Broadcast)

Tekli Yayın (Unicast): Ağdaki bir bilgisayarın bir data paketini tek bir bilgisayara göndermesidir. Çoklu Yayın (Multicast): Ağdaki bir bilgisayarın bir data paketini kopyalayarak birden fazla bilgisayara göndermesidir. Geniş Yayın (Broadcast): Ağdaki bir bilgisayarın bir data paketini kopyalayarak bütün bilgisayarlara göndermesidir. 2.3.

LOKAL AĞ CİHAZLARI

2.3.1.

Ağ Arayüz Kartı (Network Interface Card-NIC)

Bilgisayarların ağ ortamına aktaracakları bilgileri hazırlayan cihazdır. Genelde 1.nci katman cihazı olarak bilinmesine rağmen kart üzerindeki ROM’da tutulan MAC adresinden dolayı 2.nci katman cihazı olarak da bilinmektedir. Bir başka adı ise ağ adaptörü (Network Adapter) dür. Günümüzde lokal ağlarda çoğunlukla Ethernet veya Fast Ethernet kullanıldığından NIC kartları Ethernet kartı diye anılmaktadır. Halbuki Ethernet Kartı NIC kartlarının sadece bir çeşidinin adıdır. 2.3.2.

Dönüştürücü (Transceiver)

19

Bazen NIC kartlarındaki veya ağda kullanılan cihazlardaki konnektörler ile ağ ortamı uyuşmamaktadır. Örneğin fiber kabloyu RJ45 portu olan yönlendiriciye bağlamanız gerekiyorsa dönüştürücü (transceiver) kullanmanız gerekecektir. Dönüştürücü bir çeşit sinyali başka çeşide çeviren pasif bir cihazdır. 2.3.3.

Tekrarlayıcılar (Repeaters)

Kullanılan ağ ortamındaki kabloya göre bazı kısıtlamalarla karşılaşılmaktadır. Bunlardan biri de kablonun sinyalleri iletim mesafesidir. Örneğin Cat-5 UTP kabloda 100 metrelik mesafeden sonra dijital sinyaller şiddetini yitirmeye başlar. 100 metreyi aşan kablolama gereken ağlarda bu dijital sinyallerin güçlendirilmesi gerekir. Tekrarlayıcıların görevi de bu sinyalleri güçlendirmektir. Diğer ağ ortamları da farklı mesafe limitlerini aşınca tekrarlayıcı kullanma ihtiyacı duyarlar. Böylelikle mesafe limitleri aşılarak daha geniş mekanlara da lokal ağlar kurulabilmektedir. Tekrarlayıcılar 1.nci katman cihazlarıdır. Tekrarlayıcılarda bir giriş, bir de çıkış portu bulunmaktadır. Fakat tekrarlayıcıların kullanımında da 5-4-3 kuralı adında bir sınırlandırma vardır. Bu kurala göre en fazla 5 ağ segmenti, 4 tekrarlayıcı kullanılarak ve en fazla 3 ağ segmentinde bilgisayar bulunabilecek şekilde tekrarlayıcılar kullanılabilmektedir. 2.3.4.

Hublar (Hubs)

Çok portlu tekrarlayıcılar (multi-port repeater) olarak da bilinen hub, aslında işlev olarak tekrarlayıcıdan farkı yoktur. Hub da zayıflayan dijital sinyalleri güçlendirmektedir. Hub’ın en önemli kullanım sebeplerinden biri kablolama merkezi olmasıdır. Hub’a bir portundan gelen dijital sinyal, sinyali aldığı port hariç diğerlerine kopyalanarak ve en önemlisi güçlendirilerek gönderilir. Böylelikle daha önce bahsi geçen yıldız topolojisinin kullanımı sağlanmakta ve herhangi bir bilgisayar bağlantısından çıkacak problem bütün bir ağı etkilememektedir. 2.3.5.

Köprüler (Bridges)

2.nci katmanda çalışan köprüler iki ayrı LAN segmentini birleştirir. Köprülerin ana işlevi, bağladıkları segmentlerin trafiklerini kontrol etmek ve filtrelemektir. Köprüler 2.nci katmanda çalıştıkları için MAC adreslerine göre yönlendirme işlemi de yapabilmektedir. Böylelikle bağladıkları her iki lokal ağ trafiği kendi içinde kalır. Ancak bir bilgisayar diğer segmentteki bilgisayar ile iletişim kurmak istediği zaman köprünün kendi oluşturduğu MAC adres tablosunun yardımıyla bilgisayarı bulur ve iletişim kurar. Eğer köprüye gelen frame yapının hedef adresi broadcast adresi ise MAC adres tablosundan bu adresi bulamayacağından dolayı frame yapı diğer segmente kopyalanacaktır.(Yönlendirme değil) Dolayısıyla sadece köprüler ve hublar ile kurulan bir ağ tek bir broadcast etki alanını oluşturmaktadır. Köprü de aynı tekrarlayıcılar gibi bir giriş ve bir çıkış portuna sahiptir.

Şekil 2.7 (Köprüler) 2.3.6.

Anahtarlar (Switches) Hub ile tekrarlayıcılar arasındaki ilişkiye benzer bir ilişki anahtarlar ile köprüler arasında

20

da vardır. Nasıl ki hub’lara çok portlu tekrarlayıcı deniyorsa, anahtarlara da çok portlu köprü (multi-port bridge) denmektedir. Anahtarlar aynen köprüler gibi MAC adres tablosu oluştururlar. Bağladıkları ağ segmentlerindeki trafiği kontrol ederek birbirlerine olan trafik akışını MAC adresleriyle yönetirler. Bu yüzden anahtarlar da köprüler gibi 2.nci katman cihazları olarak bilinirler. Fakat 3.ncü katmanda çalışan ve uzaktan yönetilebilen anahtarlar da mevcuttur. Fakat bu konu bu kitabın içeriğini aşmaktadır.

Şekil 2.8 (Anahtar) Daha sonraki konularda da anlaşılacağı üzere anahtarlar hub’lara nazaran lokal ağların performansını artırmaktadır. Hublar da ağ segmentlerin birleştirilmesinde kullanılabilir. Fakat bir porttan gelen paket diğer bütün portlara kopyalandığı için bütün bir ağ meşgul edilmektedir. Fakat anahtarlar MAC adreslerine göre yönlendirme yaptığından ilgili segmente aktarılmaktadır. Bu da lokal ağın performansını etkilemektedir. Köprülerde olduğu gibi gelen paketin hedef adresi broadcast adres ise bu adres MAC adres tablosundan bulunamayacağından dolayı bu frame yapı alındığı port hariç diğer portlara kopyalanacaktır. (Yönlendirme değil) Dolayısıyla hub, köprü ve anahtarlarla oluşturulan ağ tek bir broadcast etki alanını oluşturmaktadır. Anahtarlar frame yapıyı Application-Specific Integrated Circuits (ASICs) adıyla anılan özel bir donanım ile yönlendirmektedir. ASIC teknolojisi sayesinde anahtarlar daha az gecikmeyi (lowlatency) sağlamaktadır. 2.3.7.

Yönlendiriciler (Routers)

3.ncü katmanda çalışan yönlendiriciler yönetilebilir cihazlar olma özellikleriyle göze çarpmaktadırlar. Ayrıca 3.ncü katmanın özelliklerinden hatırlayacağınız üzere bu katmanda data pakete dönüştürülmüş ve bu pakette kaynak ve hedef bilgisayarın mantıksal adresleri de bulunmaktadır. Yönlendiricilerin 3.ncü katmanda çalışıyor tanımından anlaşılması gereken bu cihaza gelen paketlerin mantıksal kaynak ve hedef adresleri algılanmakta ve bu adreslere göre yönlendirilmektedir. Bunun için yönlendiriciler, içinde bulundukları ağda kullanılan mantıksal adreslere göre yönlendirme tabloları oluşturmaktadır. Mantıksal adresler ile bir grup bilgisayar tek bir adres ile ifade edilebilmektedir. Bu adrese de ağ adresi denir. Bu konu üzerinde daha sonra detaylı bir şekilde durulacaktır. Yönlendiricilerin oluşturdukları tablolar da bu ağ adreslerinden oluşmaktadır. Yönlendiriciler sadece 3.ncü katmanla ilgilendiklerinden dolayı 1.nci ve 2.nci katmanların yapıları bu cihazları ilgilendirmez. Bundan dolayı yönlendiriciler farklı teknolojileri (Ethernet, FDDI ve Token Ring gibi) kullanan segmentleri de birleştirebilmektedir. Yönlendiriciler, yönlendirdikleri paketlerin ulaşmaları gereken ağa olan en kısa yolu da tespit edebilmektedirler. Bu nedenle yönlendiriciler büyük ağlarda en önemli trafik düzenleyici cihazlardır. Büyük ağlarda (Örneğin en büyük ağ olan Internet) çok farklı donanım ve yazılıma sahip bilgisayarların birbirleriyle iletişiminde en büyük rol yönlendiricilere aittir.

21

Yönlendiriciler kendilerine bağlı bulunan ağlardan gelen çoklu yayınları (broadcast) yönlendirmezler. Dolayısıyla yönlendirici, içinde bulunduğu ağı kendisine direkt bağlı olan segment kadar sayıda broadcast etki alanına ayırmaktadır.

Şekil 2.9 (Yönlendirici)

22

ÜNİTE 3 – ALT KATMANLAR 3.1.

İLETİŞİM SİSTEMLERİNDE TEMEL SİNYALLER VE GÜRÜLTÜ

3.1.1.

Analog ve Dijital Sinyaller

Sinyal, istenen miktardaki elektrik voltajı, ışık örneği ya da elektromanyetik dalgadır. İki çeşit sinyal vardır. • •

Analog Sinyal Dijital Sinyal

Analog Sinyal, dalgalı ve voltaj-zaman grafiğinde devamlı değişen bir grafiğe sahip olup 100 yılı aşkın bir süredir telekomünikasyon sektöründe kullanılmaktadır. A=Amplitude (Dalga Boyu Derinliği) T=Periyot (Period) (1 dalga boyu için geçen zaman) F=Frekans (Frequency) (Saniyedeki dalga boyu sayısı=1/T)

V (voltaj)

T A t (zaman)

A Şekil 3.1 (Analog Sinyal) Dijital Sinyal, ayrık ve voltaj-zaman grafiğinde kopuk bir grafiğe sahip olup analog sinyal yerine telekomünikasyon sektöründe kullanılmaktadır. V (Voltaj)

T

1

T

A

0

1

0

1

t (zaman)

bit

Şekil 3.2 (Dijital Sinyal) Temel dijital data birimi bit olarak adlandırılır. Dijital bitler 1 (Bir) ve 0 (Sıfır)’dır. Elektrik sinyalinde dijital 1, +5 Volt ; dijital 0 ise 0 Volttur. Optik Sinyalde dijital 1, parlak bir

23

ışık örneği; dijital 0 ise düşük bir ışık örneği veya karanlıktır. Elektromanyetik dalga sinyalinde dijital 1, uzun dalga boyu; dijital 0 ise kısa dalga boyudur. Yayın (Propagation): Bir bilgisayarın gönderdiği bir bitlik datanın ağ ortamına bırakılıp hedef bilgisayara ulaşıp kaynak bilgisayara geri gelme süresine gidiş-geliş zamanı (Round Trip Time-RTT) denir. Gönderilen datanın hedefe ulaşana kadar geçen süreye yayın gecikmesi (Propagation Delay) denir. Eğer ağ iletişiminde yayın gecikmesi çoksa, problem kaynağı bulunup çözülmelidir. Eğer ağ iletişimde yayın gecikmesi azsa, yani datayı gönderen bilgisayar hedef bilgisayarın alabileceğinden çok daha hızlı data gönderiyorsa, ağ üzerindeki bir cihazda veya hedef bilgisayarda datanın ara belleğe (buffering) alınması gerekir. Zayıflama (Attenuation): Dijital data bırakıldığı ağ ortamı ne olursa olsun kullanılan ortamın özelliğine göre belli bir mesafeden sonra zayıflayacaktır. Elektrik sinyalleri belli bir resistansa sahip olduğundan dolayı zayıflayacaktır. Optik sinyallerde kullanılan ışık örneği absorbe olacak veya dağılacaktır. Aynı şekilde elektromanyetik dalga sinyalleri de atmosferde başka sinyallerden dolayı absorbe olacak veya dağılacaktır. Bütün durumlar için zayıflama sözkonusudur. Bu problemin çözümü daha önce de bahsedildiği gibi tekrarlayıcılar (repeaters) ile sağlanmaktadır. Yansıma (Reflection): Uzunca bir ipi iki ucundan birer kişi tutacak şekilde tutup bir ucundan dalga yapacak şekilde bir kere salladıktan sonra size daha küçük bir dalganın geri geldiğini göreceksiniz. Eğer devamlı şekilde ipi sallarsanız geriye dönüş dalgası oluşsa da önemli bir değişiklik olmayacaktır. Aynen elektrik sinyalleri devamlı olarak sinyalleşme sürdüğü müddetçe bir problem olmamakta ama sinyalleşme esnasında olan kopukluklarda geri bir sinyal alınmaktadır. Bu sinyale yansıma (reflection) denir. Optik sinyallerde de aynı yansıma oluşmaktadır. Gece evinizde ışık yanıyorken pencereden dışarı baktığınızda camdan yansıyan ışık size yansımakta ve siz kendinizi cam üzerinde görebilmektesiniz. Aynı şekilde elektromanyetik yansımalar da meydana gelmektedir. Gürültü (Noise): Elektrik, optik ve elektromanyetik sinyallerin yakınında bulunan ve gönderilen datayı bozma riski olan diğer sinyallerin tümüne gürültü (noise) denmektedir. Gürültü dijital biri sıfıra ve dijital sıfırı bire çevirerek taşınan datayı değiştirebilmektedir. Bir mühendislik hesabı olan sinyal/gürültü oranının kabul edilebilir bilimsel değerlerde kalması gerekmektedir. Bir kablonun başka bir kablonun elektrik sinyalinden veya elektriksel gürültüsünden etkilenmesine crosstalk denir. Eğer bu iki kablo birbirine yakınsa yakın crosstalk (near-end crosstalk-NEXT) denir. Bilgisayar kullandığımız mekanlardaki elektrik tesisatının oluşturduğu gürültü de ağ üzerinde olumsuz etki yapmaktadır. Ağ kurulumu yaparken mutlaka elektrik tesisatına uzak yerler tercih edilmelidir. Elektrik sinyalleri, elektromanyetik ve radyo frekans parazitinden ciddi bir biçimde etkilenmektedir. Bu parazitleri emen kablolar taşıdıkları orijinal dijital datayı bozarak değiştirirler ve farklı bir datayı hedef bilgisayarın NIC kartına verirler. Bu da ciddi sorunlara yol açmaktadır. Elektromanyetik sistemler, elektriksel gürültüye ve kablosuz sistemler elektromanyetik ve radyo frekans parazitine karşı bağışıklık kazanmışlardır. Yayılma (Dispersion): Sinyalin zamana bağlı olarak yayılmasına yayılma (dispersion) denir. Her biti temsil eden voltaj, ışık örneği veya dalga boyu belli bir süre içinde yayınlanmalıdır. Eğer bu süre büyürse gönderilen bit, kendinden önceki ve sonraki bitlerle bu datayı alan ve işleyen bilgisayar tarafından karıştırılır. Bu da karmaşaya ve alınan datanın yanlış anlaşılmasına veya

24

hiç anlaşılmamasına sebep olur. Saniyede milyonlarca bitlik data gönderdiğinizi düşündüğünüzde bu konunun hassasiyeti anlaşılmaktadır. Bu problem elektrik sinyallerinde doğru kablolama yaparak, mesafe limitlerinde dikkatli olarak, optik sinyallerde belli dalga boylarında lazer ışığı kullanarak ve kablosuz iletişimde de frekans ayarlarıyla çözümlenebilmektedir. Jitter: Bütün dijital sistemler zamanlandırılarak çalışır. Zamanlandırma sistemi gönderilen veya alınan bilgilerin işlemcide işlenmesini, diske yazılmasını veya NIC kartının bu bilgilerin gönderilmesi veya alınmasını sağlamaktadır. Kaynak ve hedef bilgisayarların zamanlandırmasındaki farklılığa zamanlamada jitter var denir. Bu farklılık datanın beklenenden daha erken veya daha geç ulaşmasına sebep olacaktır. Bu problem ile ilgili olarak yazılımsal ve donanımsal çözümler vardır. Gecikme (Latency): Gönderilen datanın kaynak bilgisayardan hedef bilgisayara ulaşırken geçirdiği süreye gecikme (latency) denir. Hedef ve kaynak bilgisayar arasında ne kadar çok cihaz varsa gecikme o kadar çok artacaktır. Bu yüzden ağ cihazlarını konuşlandırırken, farklı katman protokollerini ve kodlama (encoding) stratejilerini kullanırken dikkatli olunmalıdır. Çünkü bunlar ağ cihazlarının daha fazla işlem yapmasını gerektirecektir. Çarpışma (Collision): İki bilgisayardan gönderilen bitlerin ağ ortamında çarpışmalarına çarpışma (collision) denir. Birbirleriyle ağ ortamında karşılaşan bitler aslında birer voltajdır ve ikisi yeni bir voltaj seviyesi oluşturmaktadır. Bu da yeni bir data demektir. Bazı teknolojiler (Ethernet, Token-Ring ve FDDI gibi) bu probleme çözüm üretmişlerdir. Ayrıca ağ dizaynı yaparken çarpışmaları minimuma indirmek ve lokalleştirmek mümkündür. Kodlama (Encoding): Elektrik, optik ve elektromanyetik sinyallerle dijital bir ve sıfırları tanımlamaya kodlama (encoding) denir. İki türlü kodlama bulunmaktadır. Bunlar; • •

NRZ Kodlama (Non-Return to Zero (NRZ) Encoding) Manchester Kodlama (Manchester Encoding) 1 Byte=8 bits

1

1

1

0

1

0

0

0 A

Clock Non-return to Zero

A/2 A/2

Manchester T

Şekil 3.3 (Dijital Kodlama) NRZ Kodlama (Non-Return to Zero (NRZ) Encoding): Bu en basit kodlama çeşididir. Elektrik sinyallerinde dijital 1, +5 veya +3.3 Volt; dijital 0, 0 Volttur. Optik sinyallerde dijital 1, parlak ışık örneği; dijital 0, karanlıktır. Kablosuz iletişimde dijital 1, elektromanyetik dalganın varlığı ile; dijital 0 ise dalganın yokluğu ile temsil edilmektedir.

25

Manchester Kodlama (Manchester Encoding): Daha karmaşık fakat gürültüye karşı bağışıklık kazanmış bir kodlama çeşididir. Elektrik, optik ve elektromanyetik sinyallerde bu kodlama datanın gönderilişi sırasında yapılmaktadır. Bütün sinyaller için dijital 1, düşükten yükseğe; dijital 0, yüksekten düşüğe şeklinde kodlanır. Örneğin elektrik sinyali düşük voltajdan yüksek voltaja çıkarılmasıyla dijital 1, yüksek voltajdan düşük voltaja indirilmesiyle dijital 0 temsil edilmektedir. Böylece dışarıdan gelen gürültü voltajın artan ve azalan özelliğini kaybettirmeyecektir. 3.2.

LOKAL AĞ KABLO ÇEŞİTLERİ

3.2.1.

Korunmalı Çift Bükümlü Kablo (Shielded Twisted Pair-STP)

Dışarıdan gelen her türlü gürültüye karşı korunmalı, UTP kablonun bütün avantaj ve dezavantajlarını taşıyan ve UTP kablodan daha pahalı olan bir kablo çeşididir. Ethernet ağlarında kullanılabilen bu kablo, koaksiyel kablolardan farklı olarak datanın taşındığı devrenin bir parçası olmadığı için mutlaka her iki sonda da topraklandırılmalıdır. Aksi halde iletişime en çok zarar veren bir etken olur. Kablo içindeki veya çevredeki sinyalleri toplayan bir anten gibi çalışır ve ağ ortamındaki datayı bozar. Etrafı renkli plastik kaplayıcıyla kaplanmış 4 çift tel ve dış kaptan önce korumayı sağlayan lifler bulunmaktadır. Bu da STP kabloyu daha sert ve ağır yapmaktadır. 150 ohm STP kablo olarak bilinen ve Token-Ring ağlarda kullanılan STP kablolar bütünüyle korumayı sağlayan liflerin yanında her çift tel için de koruma bulunmaktadır. Ethernet ağlarda kullanılabilen STP kablolar gibi bu tip kablolarda topraklanmalıdır. Ayrıca daha fazla koruma olduğu için ağırlığı da artmaktadır. 3.2.2.

Korunmasız Çift Bükümlü Kablo (Unshielded Twisted Pair-UTP)

100 ohm empedansı olan, çevresi 0.43 cm ve 4 çift telden oluşan UTP kablo değişik ağ kurulumlarında kullanılır. Her bir tel diğerinden yalıtılmıştır. Çevresinin küçük olmasından dolayı kablo kanallarında daha az yer kaplamakta ve büyük ağ kurulumlarında çok avantaj sağlamaktadır. UTP kablo RJ-45 konnektör ile sonlandırılmaktadır. RJ-45 ile sağlanan sonlanma çevredeki gürültüden etkilenmeyi azaltmaktadır. UTP kablolar, STP kablonun tam tersine çevredeki gürültüden etkilenmektedir. Daha önceden daha yavaş bilgi iletimi yapabilirken yeni geliştirilen teknolojilerle UTP kablo üzerinden Gigabit hızlı iletişim sağlanabilmektedir. Bu da UTP kablonun çok daha yaygın kullanımını beraberinde getirmiştir. 3.2.3.

Koaksiyel Kablo (Coaxial Cable)

Koaksiyel kablo içerisinde iç içe geçmiş iki maddeden oluşan tel bulunmaktadır. En içte bakır iletkeni, onu saran ve koruyucu görevi gören örgülenmiş bakır örgü ya da alüminyum vardır. Bunların üzerine plastik yalıtıcı bulunmaktadır. Koaksiyel Kablolar, UTP ve STP kablolara göre tekrarlayıcı gerektirmeden daha uzun mesafelerle iletişim sağlayabilmektedir. Koaksiyel kablo teknolojisi eski olduğundan daha iyi bilinmektedir. Koaksiyel kabloların Ethernet omurgasında (backbone) kullanılan daha geniş çevreleri çeşidine thicknet denmektedir. Fakat sert olduğundan dolayı kurulumları zordur. Yine aynı amaçla kullanılmak üzere daha dar çevresi olan thinnet çeşidi de vardır. Bu da çok dönüşlü yerlerde kullanılmaktadır. Koaksiyel kablo BNC konnektör ile sonlandırılmaktadır. Koaksiyel kablolar günümüzde yaygın biçimde artık kullanılmamaktadır. 3.2.4.

Fiber Optik Kablo (Optical Fiber) 20.nci yüzyılın ortalarında keşfedilen ve ilk defa telefon şirketlerinin kullanmaya

26

başladığı fiber optik kablolar daha önce bahsedilen kablo çeşitlerinden çok daha hızlı iletişim sağlayabilmektedirler. Elektrik sinyalleri yerine ışık transmisyonu gerçekleştirirler. Fiber optik kablo saf camdan oluşmaktadır. Saf cam kırılmayı sağlayacak şekilde kaplama yapılır. Bu kablo önce plastik bir korumayla sonra da plastik liflerle kaplanır. En dışta yine plastik bir kaplama vardır. Eğer kırılmayı sağlayacak kaplama yüksek dereceli olmazsa ışık iyi bir şekilde kırılmayacaktır. Tek Mod (Single Mode) ve Çoklu Mod (Multimode) olmak üzere iki çeşit fiber optik kablo bulunmaktadır. Tek Mod fiber optik kablo tek akımlı lazer ışık, Çoklu Mod fiber optik kablo ise çok akımlı LED ışık taşımaktadır.

Single Mode Lazer Işık Kaynağı

Multi Mode LED Işık Kaynağı

Şekil 3.4 (Fiber Optik Kablo) 3.3.

ÇARPIŞMA ETKİ ALANLARI

Daha önce bahsettiğimiz gibi ağ ortamında bitlerin aynı anda bulunmaları çarpışmayı (collision) doğurmaktadır. Bir ağda iki bilgisayar varsa bu bilgisayarların ağ ortamına data bırakırken birbirleriyle anlaşmaları kolaydır. Fakat ağda daha fazla bilgisayar olduğu zaman bu anlaşma imkansızlaşmaktadır. Ağ ortamına farklı bilgisayarlar tarafından milyonlarca bitlik datanın bırakılması ciddi problemlere yol açar. Eğer ağ tek bir kabloyla kurulmuşsa (bus topoloji) ağdaki dataların çarpışma olasılığı çok yüksektir. Gönderilecek data paketlerinin kaynağının bulunduğu ve bu paketlerin çarpıştığı ağ içindeki bölgeye çarpışma etki alanı (collision domain) denir. Gönderilecek broadcast paketlerinin kaynağının bulunduğu ve bu broadcast paketlerin çarpıştığı ağ içindeki bölgeye broadcast etki alanı (broadcast domain) denir. Bu bölgede bulunan patch panel, patch kablo, dönüştürücü, tekrarlayıcı ve hatta hub’lar bu etki alanının içindedirler. Birçok insan gibi biz de çarpışmaların ağ performansına olumsuz etki yaptığı için kötü olduğunu düşünürüz. Fakat çok bilgisayarlı ortamlarda bu gayet normaldir. Hawaii Üniversitesi, adalar arasında kablosuz iletişim sağlamak için Aloha adını verdikleri bir protokol geliştirmişler ve bu protokol daha sonra Ethernet ortamındaki çarpışmaların olumsuz etkilerini kaldırmak için bir araç olarak kullanılmıştır. Çarpışma Etki Alanlarını tanımak ve ağ dizaynını belirlemek, ağ yöneticileri için önemli bir konudur. Ağda kullanılan teknolojiye bağlı olarak, bilgisayarları herhangi bir ağ cihazı kullanmadan bağladığınızda tek bir çarpışma etki alanı elde edersiniz. Çünkü her bir bilgisayarın göndereceği bir bitlik data diğer bitlerle çarpışabilir. Eğer bilgisayarları bağlarken tekrarlayıcı kullanmışsanız bu sadece etki alanını genişletmişsiniz demektir. Çünkü tekrarlayıcı bir segmentten gelen datayı diğer tarafa güçlendirerek gönderir. Yani tekrarlayıcıdan başka ağ cihazının bulunmadığı ağlar, tek çarpışma etki alanıdır. Daha fazla bilgisayarları ve yazıcıları bağlayarak daha geniş bir ağ oluşturmak istiyorsanız çok portlu tekrarlayıcı da denen hub’Sları kullanabilirsiniz. Hub da aynı tekrarlayıcı gibi sinyalleri güçlendirdiği ve bir porttan aldığı datayı diğer portlara aynen kopyaladığı için yine tek bir çarpışma etki alanına sahip olacaksınız. Daha

27

fazla bilgisayar bağladığınız için ağ performansı daha yavaş olacaktır. Şekil 3.5’te bu paragrafta bahsedilen ağ yapılarındaki çarpışma ve broadcast etki alanlarını göreceksiniz.

1

2

3

n

1

2

3

n

= Collision = Broadcast

Şekil 3.5 (Çarpışma ve Broadcast Etki Alanı) Ağınızı, tekrarlayıcı ve hub kullanarak genişlettiğiniz zaman yine tek bir çarpışma etki alanına sahip olacaksınız. Daha çok bilgisayarı bağladığınız için de önceki bütün durumlardan daha fazla ağ performansı yavaşlayacaktır. Ağ dizayn ederken kullanacağınız tekrarlayıcı ve hub sayısında bir kısıtlama vardır. 5-4-3-2-1 kuralı diye bilinen kısıtlama 5 segment birbiriyle en fazla 4 tekrarlayıcı ya da hub kullanılarak bağlanabilir. Fakat bu segmentlerin en fazla 3 tanesinde bilgisayar bulunabilir ve 2 segment ancak tekrarlayıcılar veya hublar arasında link şeklinde bağlanabilir. Ve bütün bir ağ tek bir çarpışma etki alanını oluşturur.

28

=Çarpışma Etki Alanı (Collision Domain)

Şekil 3.6 (5-4-3-2-1 Kuralı) Hub ve tekrarlayıcı kullanılarak ağınızı genişletmeniz mümkündür. Fakat yukarıda da anlatıldığı üzere çok sayıda çarpışma (collision) meydana gelmekte ve ağ trafiği çok yoğunlaşmaktadır. Köprü, anahtar ve yönlendirici kullanarak çarpışma etki alanının sayılarını artırmak ve böylece her bir etki alanındaki bilgisayar sayısını da azaltmak mümkündür. Dolayısıyla her etki alanındaki çarpışma sayısı azalacak ve ağ performansı daha verimli hale gelecektir. Köprü, anahtar ve yönlendirici kullanarak çarpışma etki alanlarını parçalama işlemine segmentasyon (segmentation) denir. Köprü kullanarak bir etki alanını ikiye bölmek mümkündür. Böylece bir segmentten diğer segmente yapılacak iletişim daha kontrollü olacaktır. Köprü aradaki trafik geçişini kendi MAC adres tablosuna bakarak filtreleyecektir. 3.4.

DATA-LİNK KATMANININ ALT KATMANLARI

Fiziksel Katman, ağ ortamını, gönderilecek datanın bitlere dönüşümünü ve ağ üzerindeki yolculuğunu kontrol eder ve yönetir. Bütün bunları yaparken üst katmanlarla olan diyaloğu ve gönderilen datanın nereye gitmesi gerektiğini tespit edemez. Bunlar 2.nci katman tarafından gerçekleştirilir. 2.nci katman gönderilecek bitleri organize eder ve gruplandırarak frame yapıya dönüştürür. Data-Link Katmanında 2 alt katman bulunmaktadır. Bunlar; • •

Mantıksal Link Kontrol (Logical Link Control-LLC) Ortam Giriş Kontrol (Media Access Control-MAC)

Elektrik ve Elektronik Mühendisleri Enstitüsü (The Institute of Electrical and Electronic Engineers-IEEE) ağ standartlarını tanımlayan profesyonel bir kuruluştur. Lokal ağlarda yaygın olarak kullanılan IEEE 802.3 ve IEEE 802.5 standartları bu kuruluş tarafından tanımlanmıştır. Bu Enstitünün koymuş olduğu standartlar, 7 katmandan oluşan OSI modelinin en alt 2 katmanını içermektedir. Bu nedenle Data-Link Katmanı yukarıda bahsedildiği üzere iki alt katmana bölünmüştür. Mantıksal Link Kontrol (Logical Link Control-LLC): LLC alt katmanı, üst katmanlarla olan iletişimi sağlar. LLC alt katmanı, ağ katmanı ve daha üst katmanlardaki protokollerle fiziksel katmanda kullanılan farklı teknolojiler arasındaki servis hizmetini vermektedir. LLC alt katmanı, datanın kapsüllenmesi sırasında ağ katmanından gelen dataya hedef ve kaynak protokol

29

bilgilerini (Destination Service Access Point-DSAP, Source Service Access Point-SSAP) yerleştirir ve tekrar paketlediği datayı MAC alt katmanına gönderir. Böylece kullanılan teknoloji ne olursa olsun gönderilen data hedef bilgisayar tarafından anlaşılabilir. Ortam Giriş Kontrol (Media Access Control-MAC): MAC alt katmanı ise adresleme sistemi kullanarak frame yapıya dönüştürülen datanın karşı tarafa ulaşmasını sağlar. Bu katman , kullanılan teknolojiye bağımlı olarak Fiziksel Katmanla olan iletişimi kurmaktadır. MAC alt katmanı, hedef ve kaynak bilgisayarların NIC adreslerini yazar ve datayı dijital sayılara dönüştürmek üzere fiziksel katmana iletir. Ayrıca bilgisayarların ağ ortamına erişim sistemini de organize eder. 2 çeşit ortama erişim kontrol protokolleri vardır. Bunlar; • Belirli (Deterministic) • Belirsiz (Non-deterministic) Belirli MAC Protokolleri (Deterministic): Sırayla ortama data aktarımının yapılmasını sağlayan protokollerdir. Örneğin; Token-Ring protokolü bu çeşit bir protokoldür. Bu protokolün çalışma mekanizmasını daha sonra aktaracağız. Belirsiz MAC Protokolleri (Non-deterministic): Bu tür protokoller ilk gelen ilk servisi alır (first come, first served) mantığıyla çalışır. Dolayısıyla ağda çarpışmaların olması muhtemeldir. Örneğin; Ethernet, Carrier Sense Multiple Access with Collision Detection-CSMA/CD protokolü bu çeşit protokoldür. Bu protokolün çalışma mekanizmasını daha sonra aktaracağız. Bu iki çeşit MAC protokollerini anlamak için şöyle benzetmeler yapmak mümkündür. Otobandan giden araçları ve otoban başındaki ve sonundaki vezneleri düşünün. Araçları frame yapıdaki data, otobanı ağ ortamı ve vezneleri de ağa girişi sağlayan protokoller olarak düşünebiliriz. Gişelere ilk ulaşan otoban hizmetini alabilecektir. Bu örnekle Ethernet ağı daha kolay anlaşılabilir. Yuvarlak bir masa etrafında toplantı yapan insanları düşünün. Konuşmak isteyen her kim ise el kaldırarak söz alsın. Toplantı odası ağ ortamı, toplantıdaki kişiler bilgisayarlar, konuşulan sözler bilgi paketleri ve el kaldırma işlemi de ağ ortamına giriş için Token-Ring ağlarda kullanılan jeton olarak düşünüldüğünde Belirli MAC protokolü de rahatlıkla anlaşılacaktır. 3.5.

DATA-LİNK KATMANI PROTOKOLLERİNİN FONKSİYONLARI Data-link Katmanı protokollerinin fonksiyonları şunlardır; • • • •

Hakemlik (Arbitration) Adresleme (Addressing) Hata Saptama (Error Detection) Kapsüllenmiş Datayı Tanımlama (Identifying The Encapsulated Data)

Hakemlik (Arbitration): Bu fonksiyona ortama data göndermenin uygun olmadığı zamanlarda ihtiyaç duyulmaktadır. Lokal Ağlar, Paylaşılmış Ortam (Shared Media) şeklinde tanımlanmıştır. Yani ağdaki her cihaz, ağa data göndermek için uygun zaman oluşana kadar beklemek zorundadır. Kullanılan her teknoloji için bu uygun zamanı tespit etme metodolojisi farklıdır. Bu metodolojiye hakemlik (Arbitration) denmektedir. Ethernet, hakemlik için Carrier Sense Multiple Access with Collision Detection (CSMA/CD) adı verilen bir algoritma kullanmaktadır. Ethernet ağdaki bütün bilgisayarlar ağa data bırakmak için şu adımları takip ederler. Adım 1: Ağdaki herhangi bir bilgisayarın data alıp almadığını tespit etmek için ağı DİNLE.

30

Adım 2: Ethernet Ağ üzerinde frame yapı yoksa, ağa data GÖNDER. Adım 3: Ethernet Ağ üzerinde frame yapı varsa, data gönderme BEKLE ve TEKRAR DİNLE. Adım 4: Eğer data gönderirken çarpışma olursa, DUR, BEKLE ve TEKRAR DİNLE. Token-Ring, tamamen farklı bir mekanizma kullanmaktadır. Token-Ring ağ üzerinde gezen bir jeton vardır. Eğer ağda bulunan bilgisayarlar data göndermiyorsa, jetonun kontrol bilgi alanında jetonun boş olduğunu belirtir şekilde kodlama yapılır. Eğer herhangi bir bilgisayar data gönderecekse bu kontrol bilgisini jetonun dolu olduğunu belirtecek şekilde kodlar. Sistem aşağıdaki şekilde çalışır. Adım 1: Gezen jetonun boş olup olmadığını DİNLE. Adım 2: Eğer jeton dolu ise, sonraki jetonu DİNLE. Adım 3: Eğer jeton boş ise, jetonu dolu olarak DEĞİŞTİR, datayı EKLE ve datayı halkaya BIRAK. Adım 4: Halkayı dolaşıp gelen ve datayı bırakan jeton kaynak bilgisayara ulaştığında jetonun kontrol bilgisini tekrar boş olarak DEĞİŞTİR. Adım 5: Boş olarak değiştirilen jetonu, başka bilgisayarın data göndermesi için ağa GÖNDER. Adresleme (Addressing): Ağdaki bütün bilgisayarlar gönderilen datayı alabileceği için, ağ ortamında adreslemeye ihtiyaç vardır. Lokal ağlar Geniş Yayın Ortamı (Broadcast Media) olduğu için ortamdaki datayı herkes almaktadır. Hangi bilgisayarın alınan datanın kendisine gönderildiğini anlaması ve bu datayı işlemesi gerektiğini tespit etmek için adresleme yapılır.

ADRES ÇEŞİTLERİ

ÖZELLİKLERİ

Ethernet adresi, NIC adresi, LAN adresi, Token Ring adresi, Kart adresi

6 byte uzunluğunda MAC adresinin yerine kullanılan NIC kartının adresidir.

Tekli Yayın Adresi (Unicast address)

Tek bir NIC kartını belirten adresdir.

Geniş Yayın Adresi (Broadcast address)

Lokal Ağdaki bütün cihazları belirten adresdir.

Çoklu Yayın Adresi (Multicast address)

Token-Ring ağda geçerli olmayan, Ethernet ağda bulunan bazı bilgisayarları belirten adresdir.

Tablo 3.1. (Adres Çeşitleri ve Özellikleri) Hata Saptama (Error Detection): Data gönderimi sırasında oluşan bit hatalarını öğrenme işlemine hata saptama (error detection) denir. Data-Link Katmanı tarafından data paketine eklenen kuyruk kısmına Frame Check Sequence-FCS ya da Cyclical Check Sequence-CRC adında bir değer konur. Bu değer frame yapının geri kalan kısmına uygulanan bir matematiksel işlemin sonucudur. Gönderen bilgisayar tarafından hesaplanan bu değer alıcı tarafından da doğrulanmalıdır. Eğer sonuçlar aynı olmazsa alınan frame yapı bozulmuş demektir. Data-Link katmanı sadece hatayı tespit eder, hatayı telafi etmez. Kapsüllenmiş Bilgiyi Tanımlama (Identifying The Encapsulated Data): Kendisine ulaşan bir datayı, bilgisayarın TCP/IP ya da Netware istemci yazılımından hangisini kullanacağı, aldığı data paketi içerisinde yazmaktadır. Eğer kaynak bilgisayar Novell Sunucu ise Netware istemci, FTP sunucu ise TCP/IP yazılımları kullanılacaktır. Ethernet ve Token-Ring ağlarda IEEE 802.2 LLC katmanı tarafından bu bilgi gönderilecek pakete eklenmektedir. IEEE 802.2 başlığı içerisinde bulunan Destination Service Access Point-DSAP alanında E0 yazılı ise gönderilen bilgi

31

paketi Novell IPX olduğunu gösterir. Eğer AA yazılı ise Subnetwork Access Protocol (SNAP) başlığı bulunduğunu ve bu başlık içinde 0800 yazılı ise gönderilen bilgi paketi IP paketidir. Bütün bu kod değerleri http://www.isi.edu/in-notes/rfc1700.txt adresinden öğrenebilirsiniz. 3.6.

HEKSADESİMAL SAYILAR (HEXADECIMAL NUMBERS)

Günlük hayatta kullandığımız desimal sayılar (Decimal Numbers) 10 tabanlı sayı sistemi, dijital sayılar (Binary Numbers) 2 tabanlı sayı sistemidir. 16 tabanlı sayı sistemi de 8 bitlik bir sayıyı 2 basamaklı heksadesimal sembollerle ifade edilmesinden dolayı bilgisayar sistemlerinin kimliklerinin belirlenmesinde kolaylık sağlamaktadır. MAC adresleri 48 bitten oluşur ve 12 heksadesimal rakamlarla ifade edilir. İlk 6 heksadesimal rakam NIC kartını üreten firmaya IEEE tarafından verilmiş ve sadece o üreticiye aittir. Bu rakama Organizasyonel Tek Kimlik (Organizational Unique Identifier-OUI) denir. Bu rakamlar sadece IEEE tarafından yönetilir. Sonraki 6 heksadesimal rakam ise üretilen NIC kartının seri numarasıdır. Matematik bilginizi kullanarak heksadesimal sayıları anlayabilirsiniz. Nasıl ki 10 tabanlı sayı sisteminde 0,1,2,3,4,5,6,7,8,9 olmak üzere 10 adet ve 2 tabanlı sayı sisteminde 0,1 olmak üzere 2 adet sayı varsa, 16 tabanlı sayı sisteminde de 0,1,2,3,4,5,6,7,8,9,A(=10),B(=11),C(=12),D(=13),E(=14),F(=15) olmak üzere 16 adet heksadesimal sayı vardır. 10 tabanlı ve 2 tabanlı sayı sistemlerinden iki sayıyı 10’luk tabana çevirelim; 15206=6x(100)+0x(101)+2x(102)+5x(103)+1x(104)

=15206

10011001=1x(20)+0x(21)+0x(22)+1x(23)+1x(24)+0x(25)+0x(26)+1x(27)

=153

Aynı şekilde 16 tabanlı bir sayıyı 10’luk tabana çevirelim; 5B4F7=7x(160)+F(=15)x(161)+4x(162)+B(=11)x(163)+5x(164) 10 tabanlı bir sayıyı 2’lik tabana çevirelim; 153/2=76 76/2=38 38/2=19 19/2=9 9/2=4 4/2=2 2/2=1 1

Kalan=1 Kalan=0 Kalan=0 Kalan=1 Kalan=1 Kalan=0 Kalan=0

10011001

Aynı şekilde 10 tabanlı bir sayıyı 16’lık tabana çevirelim; 24032/16=1502 1502/16=93 93/16=5 5

Kalan=0 Kalan=14 (=E) Kalan=13 (=D)

5DE0

32

=374007

Desimal 2’lik Taban Heksadesimal (Decimal) (Binary) (Hexadecimal) 0 00000000 00 1 00000001 01 2 00000010 02 3 00000011 03 4 00000100 04 5 00000101 05 6 00000110 06 7 00000111 07 8 00001000 08 9 00001001 09 10 00001010 0A 11 00001011 0B 12 00001100 0C 13 00001101 0D 14 00001110 0E 15 00001111 0F 16 00010000 10 32 00100000 20 64 01000000 40 128 10000000 80 255 11111111 FF Tablo 3.2. Heksadesimal Sayılar 3.7.

MAC ADRESİ (MAC ADDRESSING)

Ağda bulunan her bilgisayarın üzerinde daha önce bahsedilen NIC kartı bulunmaktadır. Bu kart o bilgisayarı tanımlamakta ve ağdaki kimliğini temsil etmektedir. Eğer herhangi bir sebepten dolayı bu kartı başkasıyla değiştirirseniz o bilgisayarın da kimliğini değiştirmiş olursunuz. Bu kart üzerinde bulunan çipe NIC kartını üreten firma tarafından adres yazılır. Bu adrese MAC adresi denir. Bu adres bütün üretilen NIC kartlarının adreslerinden farklıdır. MAC adresleri IEEE tarafından yönetilir ve dolayısıyla her bir adresin tek olması sağlanır. MAC adresi toplam 48 bitten oluşan iki bölüm içerir. İlk 24 bit NIC kartı üreticisini tanımlayan ve IEEE tarafından verilmiş bölümdür. Kalan 24 bit ise üretici tarafından üretilen her bir NIC kartına verilen seri numarasıdır. MAC adresleri 16 sayı düzeninde yani heksadesimal (hexadecimal) sayı olarak yazılır. Örneğin; 0000.0c12.3456 ya da 00-00-0c-12-34-56. Dijital bütün iletişimde kullanılan birim 8 bitten oluşan byte olduğundan dolayı Tablo 3.2.’den de görüleceği gibi 8 bitlik bir sayı en fazla 256 farklı sayı demektir. Bu 256 farklı dijital sayı heksadesimal olarak en fazla iki adet 16’lık sayı düzeninin sembolüyle ifade edilmektedir. Yani 48 bitten oluşan MAC adresinin her bir 8 biti (byte) için 2 sembol gerektiği düşünülürse toplam 12 hexadesimal sembol MAC adresini ifade eder. Gönderilecek dataya Data-Link katmanında MAC adresi yazılmadan gönderilmez. MAC adresi olmayan hiçbir data ne alınabilir ne de gönderilebilir. Ağda bulunan bilgisayarın NIC kartı, önce kendisine gelen datanın MAC adresine bakar. Eğer kendisinin üzerinde bulunan ROM’da üreticisi tarafından yazılmış adres ile aynı ise datayı kopyalar ve bilgisayara verir; değilse datayı dikkate almaz.

33

MAC adresleri, bilgisayarların iletişiminde kendilerine devamlı ve tek kimlik sağlamaktadır. Yukarıda belirtildiği üzere 12 heksadesimal sembolden oluşan MAC adresinin her biri için 16 farklı sembol kullanmak mümkün olduğu düşünüldüğünde 1612, yani 2 trilyondan fazla farklı MAC adresi bulunmaktadır. Bütün bu avantajlarına rağmen MAC adresi hiyerarşik bir yapıya sahip değildir. Her bir üretici için verilen organizasyonel sayı bu yapıyı bozmamaktadır ve bu bilgisayar iletişiminde problem oluşturmaktadır. 3.8.

PAKETLERİN FRAME YAPIYA DÖNÜŞTÜRÜLMESİ (FRAMING)

Dijital sinyallere dönüştürülen data tek başına anlaşılamaz. Bu sinyallerin anlaşılabilir hale dönüştürme işlemine frame yapıya dönüştürme (framing) denir. Bu dönüştürme işlemi 2.katman tarafından yapılmaktadır. Frame yapıdan anlaşılabilecek bilgilerin bazıları şöyledir; • • • •

Hangi bilgisayarların birbirleriyle iletişim kuracağı, Bilgisayarların ne zaman iletişim kuracağı ve sona erdireceği, İletişim sırasında gönderilen datada hata oluşup oluşmadığı, İletişim kurulduktan sonra hangi bilgisayarın data göndereceği ve benzeri gibi konular.

Frame yapıya dönüştürme işlemini anlayabilmek için şu benzetmeler yapılabilir. Resim çerçevesini düşünün. Evinizde veya işyerinizde duvara asmayı düşündüğünüz güzel bir resmi mutlaka güzel ve sağlam bir şekilde çerçeveleyerek asarsınız. Çerçeve dışarıdan gelecek fiziksel tehlikelere karşı resminizi koruyacaktır. Böylelikle daha rahat bir şekilde resmi taşıyabileceksiniz. Seyrettiğiniz bir video veya televizyonda aslında hareket eden resimler olduğunu ve saniyede 25-30 resmin ekranda göründüğünü çoğumuz bilmekteyiz. Her bir resim tek bir frame yapı içersinde bulunmakta, fakat gözümüz resimlerin hızlı geçişini algılayamayarak hareket ediyormuş gibi görmektedir. Aynı bu örnekler de olduğu gibi 2.nci katmanda datanın frame yapıya dönüştürülmesi datanın hem anlamlandırılmasını hem de korunmasını sağlamaktadır. Ayrıca ikinci örnekteki gibi birçok frame yapının tamamı datanın tümünü de oluşturmaktadır. Frame formatı kullanılan farklı teknolojilere göre değişik detay bilgilere sahiptir. Genel olarak hepsinde şu alanlar bulunmaktadır. • • • • • •

Frame başlangıç alanı Adres alanı Frame tipi ve uzunluğu alanı Data alanı FCS alanı Frame bitiş alanı

Frame başlangıç alanı: Yeni bir frame yapının gelmekte olduğunu belirten alandır. Adres alanı: Kaynak ve Hedef bilgisayarın MAC adreslerinin bulunduğu alandır. Frame tipi ve uzunluğu alanı: 3.ncü katmanda kullanılan protokolün belirtildiği ve toplam frame uzunluğunun bulunduğu alandır. Data alanı: 3.ncü katmandan gelen paketin bulunduğu alandır. FCS alanı: Belli bir algoritma kullanılarak hesaplanan ve frame yapının sağlam olarak ulaşıp ulaşmadığını tespit etmede kullanılan alandır. Frame bitiş alanı: Frame yapının bittiğini belirten alandır. 3.9.

LOKAL AĞ TEKNOLOJİLERİ

3.9.1.

Token-Ring ve IEEE 802.5

34

Token-Ring 1970’li yıllarda IBM tarafından geliştirilen protokoldür. Halen IBM için Token-Ring ağlar birincil, Ethernet ağlarda ikincil olma özelliğini korumaktadır. IBM’in geliştirdiği Token-Ring protokolünden sonra IEEE tarafından hemen hemen Token-Ring protokolüyle aynı ve uyumlu olan IEEE 802.5 protokolü geliştirildi. Token-Ring ağı halka topolojisi üzerine kurulur.

Token Ring

Şekil 3.7 (Token-Ring) IBM Token-Ring

IEEE 802.5

Bilgi Akış Hızı

4 ya da 16 Mbps

4 ya da 16 Mbps

Uzaklık

260 m STP kablo 72 m UTP kablo

250 m

Topoloji

Yıldız

Belirtilmemiş

Çift Bükümlü

Belirtilmemiş

Baseband

Baseband

Ortama Giriş Metodu

Jeton geçişli

Jeton geçişli

Kodlama

Manchester

Manchester

Ağ Ortamı Dijital Sinyal

Tablo 3.3. 3.9.1.1.

Token-Ring ve IEEE 802.5 Frame Yapısı

Token-Ring ağda kullanılan 2 farklı frame var. Bunlar jeton frame yapısı ve Data/Komut frame yapısıdır. Token-Ring ağda dolaşan jeton herbiri 1 byte olan üç bölümden oluşur. Şekil 3.8’de görüldüğü gibi başlangıç sınırı yeni bir frame başladığını belirtiyor. Giriş kontrolünde öncelik (priority) ve rezervasyon (reservation) alanlarının yanında jeton (token) ve izleme (monitor) biti bulunmaktadır. Jeton biti jeton ile data/komut frame yapıyı birbirinden ayırmaktadır. İzleme biti ise devamlı olarak halkayı dolanıp dolanmadığını belirtmektedir. Bitiş Sınırı ise frame yapının sonunu belirtiyor. Başlangıç Sınırı (1 byte)

Giriş Kontrolü (1 byte)

Bitiş Sınırı (1 byte)

Token-Ring Jetonu Başlangıç Sınırı (1 byte)

Giriş Kontrolü (1 byte)

Frame Kontrol (1 byte)

Hedef Adresi (6 byte)

Kaynak Adresi (6 byte)

35

Data (≥0 byte)

FCS (4 byte)

Bitiş Sınırı (1 byte)

Frame Statüsü (1 byte)

Token-Ring Bilgi/Komut frame

Şekil 3.8 (Token-Ring Frame) Başlangıç Sınırı (Start Delimiter): Yeni bir frame yapının başlangıcını belirtir. Giriş Kontrol (Access Control): Bu alanda öncelik (priority) ve rezervasyon (reservation) alanlarının yanında jeton (token) ve izleme (monitor) biti bulunmaktadır. Jeton biti jeton ile data/komut frame yapıyı birbirinden ayırmaktadır. İzleme biti ise devamlı olarak halkayı dolanıp dolanmadığını belirtmektedir. Frame Kontrol (Frame Control): Data ya da kontrol frame yapısı olup olmadığını belirtir. Kontrol frame ise ne tür kontrol bilgisi olduğunu belirtir. Hedef Adresi (Destination Address): Frame yapının gönderildiği bilgisayarın MAC adresidir. Kaynak Adresi (Source Address): Frame yapıyı gönderen bilgisayarın MAC adresidir. Data: Üst katmanların 2.nci katmana gönderdiği datayı içerir. Bu alanın uzunluğu bilgisayarın jetonu tutma zamanı ile belirlenir. Bu tutma zamanı da jeton tarafından belirlenir. FCS (Frame Check Sequence): Frame yapıyı oluşturan bilgisayar tarafından belli bir algoritma kullanılarak data alanı üzerinde yapılan işlemin sonucunu içerir. Hedef bilgisayar da aynı şekilde hesap yaparak sonuçları karşılaştırır ve frame yapının bozulup bozulmadığına karar verir. Bitiş Sınırı (End Delimiter): Frame yapının sonunu belirtir. Frame Statüsü (Frame Status): Data/Komut frame yapının sonlandırıldığını belirtir. Adresin tanınıp tanınmadığını ve frame yapının kopyalanıp kopyalanmadığını belirtir. 3.9.1.2.

Token-Ring ve IEEE 802.5 Çalışma Sistemi

Token-Ring ve IEEE 802.5 jeton gezici (token-passing) ağların iki önemli örnekleridir. Bu çeşit ağlarda jeton bütün bir ağı gezer. Data göndermek isteyen bilgisayar bu jeton frame yapısının büyüklüğünü değiştirerek daha önce bahsedilen data/komut frame yapıya dönüştürür. Gerekli bilgileri oluşturur ve göndermek istediği datayı da ekler. Fakat jetonu belli bir süre tutabilir. Bu süre içersinde bütün işlemleri bitirmek zorundadır. Data/Komut frame yapıyı oluşturduktan sonra ağda bulunan bir sonraki bilgisayara aktarır. Ortamda başka bir jeton yoktur ve diğer bilgisayarlar data gönderemezler. Bu nedenle jeton gezici ağlarda çarpışma (collision) gerçekleşmez. Ethernet ağlara göre daha yavaş gözüken bu tür ağlar aslında birbirlerine yakın bir ağ performansı gösterirler. Ağı dolaşan data/komut frame yapısı hedef bilgisayara ulaştığında kopya edilerek ağa tekrar bırakılır. Kaynak bilgisayara gelen frame yapısındaki frame statüsü alanı incelenir. Buradan frame yapının kopyalanıp kopyalanmadığı anlaşılır. Bütün data gönderim işlemi tamamlandığında kaynak bilgisayar yeni bir jeton oluşturarak başka bilgisayarların data gönderebilmesi için ağa bırakır. Token-Ring Ağ Fiziksel Bağlantıları: Token-Ring ağ kablolamasında UTP veya STP kablo kullanılır. Bilgisayarları birbirine bağlamak için Multi Station Access Unit-MSAU adındaki hub işlevi gören cihaz kullanılır. Aşağıdaki şekilde görüldüğü üzere gönderilen datanın girdiği ve çıktığı portlar vardır. Böylece halka dolaşımı sağlanabilmektedir.

36

MSAU

MSAU Ring in

1

2

3

4

5

6

7

8

Ring out

Ring in

1

İstemci Bilgisayarlar

1

2

3

4

5

6

7

3

4

5

6

7

8

Ring out

İstemci Bilgisayarlar

MSAU Ring in

2

8

Ring out

Patch Kablo

MSAU Ring in

1

2

3

4

5

6

7

8

Ring out

Lobe Kablo İstemci Bilgisayarlar

İstemci Bilgisayarlar

Şekil 3.9 (Token-Ring Ağ Fiziksel Bağlantıları) Öncelik Sistemi (Priority System): Daha önce bahsedildiği üzere giriş kontrol alanında öncelik (priority) ve rezervasyon (reservation) alanları bulunmaktadır. Datayı gönderen bilgisayar bu alana kendi öncelik değerini kaydeder. Data/Komut frame yapısı ağ üzerinde dolaşırken ağdaki bilgisayarlardan öncelik değeri eşit veya daha yüksek olanlar rezervasyon alanına kayıt yaparlar. Böylece jetonu kullanan bilgisayarın iletişimi bittikten sonra rezervasyon yaptırmış olan bilgisayarın öncelik değerini kaydederek ve bu bilgisayarın kullanımı için jetonu ağa tekrar bırakır. Hata Yönetim Mekanizması (Fault-Management Mechanism): Token-Ring ağlarda hata tespiti ve telafisi ile ilgili konularda birkaç mekanizması vardır. Ağdaki bir bilgisayar aktif izleyici (active monitor) olarak seçilir. Aktif izleyici bilgisayar herhangi bir bilgisayar olabilir. Ağdaki bütün zamanlamaları ve halka yönetimini sağlar. Data gönderen bir bilgisayar eğer kilitlenmişse gönderdiği data/komut frame ağda devamlı olarak dolaşacaktır. Aktif izleyici bilgisayar bunu tespit ederek bu frame yapıyı kaldırır ve yeni jeton oluşturarak ağa bırakır. Böylece ağın tıkanması önlenmiş ve ağdaki diğer bilgisayarlara da data gönderme imkanı verilmiş olur. Aktif izleyici kilitlendiği takdirde bu görev ağdaki başka bir bilgisayara aktarılır. Ağda aktif MSAU kullanılmışsa bu cihazın konfigürasyonları yapılarak ağın güvenli bir şekilde işlemesine katkıda bulunabilir. İşaretleme (beaconing) denen bir Token-Ring algoritmasının yardımıyla ağda oluşan hataları tespit ve telafi etmek mümkündür. Eğer ağdaki bir bilgisayar ağ üzerinde oluşan herhangi bir donanım hatası oluştuğunu tespit ederse, aktif izleyici bilgisayara donanım hatasının yerini belirten işaret (beacon frame) gönderir. Böylece aktif izleyici de halkayı oluşturmak için alternatif bir yol bulmaya çalışır. Bu işleme otomatik yeni konfigürasyon (autoreconfiguration) denir. Aktif MSAU cihazları da bu görevi gerçekleştirebilir. Ağda oluşabilecek hatalardan bazılarını inceleyelim. 4 MB’lık Token-Ring ağında bulunan bilgisayarların 16 MB’lık NIC kartlarının olması ağı çalışmaz hale getirir. Ağın herhangi bir yerinde oluşacak kablo kopukluğu veya MSAU’lardan birinin çalışmaması halinde ağda hata oluşacaktır. Bütün bunların çözümü yukarıda anlatılan işaretleme (beaconing) işlemidir. 3.9.2.

Fiber Distributed Data Interface (FDDI) 1980’li yılların ortalarında yüksek hızlı bilgisayarların geliştirilmesiyle yüksek hızda

37

çalışan yeni uygulamalar geliştirildi. Buna bağlı olarak organizasyonlarda kullanılmaya başlanan bu tür uygulamalar, daha güvenli ağ yapısını gerektirdi. Bütün bunlar yaygın olarak kullanılan Ethernet ve Token-Ring teknolojilerin kapasitelerini aşıyordu. Amerikan Ulusal Standartlar Enstitüsü (American National Standart Institution-ANSI) bu konuya çözüm getirmek üzere X3T9.5 standart komitesini görevlendirdi. Bu komite Fiber Distributed Data Interface-FDDI standardını çıkardı. Günümüzde Ethernet kadar yaygın olmayan bu standart çoğunlukla ağın omurga segmentinde bulunan yüksek hızlı sunucular arasındaki iletişimde kullanılmak üzere geliştirilmiştir. FDDI ağlar, fiber kablo kullanılarak 100 Mbps hızla çalışan ve çift-halka (dualring) yapıdaki jeton-gezici (token-passing) ağlardır. Şekil 3.10’da görüldüğü üzere çift-halka yapıdaki ağ iki farklı ve ters yönde jeton gezen halka içermektedir. Birincil halka iletişimi sağlamakta, ikincil halka ise birincil halkada oluşacak hatada sistemi çalışır tutmayı sağlamaktadır.

Birincil Halka Concentrator

İkincil Halka

WAN

Concentrator

Şekil 3.10 (Fiber Distributed Data Interface-FDDI) FDDI teknolojisi, uygulamalar için ideal olan gerçek-zamanlı ağ bant aralığını kullanma imkanı (real-time allocation) sunmaktadır. FDDI bunu iki farklı tipte trafik ile sağlamaktadır. Bunlar; • •

Eş zamanlı (Synchronous) Eş zamanlı olmayan (Asynchronous)

Eş zamanlı (Synchronous): Eş zamanlı bant aralığı, ses ve video aktarımı gibi devamlı data akışının gerektiği durumlarda kullanılır. Geri kalan bant aralığı eş zamanlılık gerektirmeyen uygulamalar için kullanılır. Eş zamanlı olmayan (Asynchronous): Bu tür trafikte sekiz seviyeli öncelik değerleri vardır. Bu öncelik değerine göre kendilerine ayrılan bant aralığını kullanır. Eş zamanlı bant aralığını kullanamayan ve öncelik değeri çok düşük olan bilgisayarlar FDDI öncelik mekanizması tarafından kilitlenerek iletişimi imkansız hale gelebilmektedir. 3.9.2.1.

FDDI Ağ Ortamı

38

FDDI ağlarda fiber kablo kullanılmaktadır. Fakat FDDI teknolojisi bakır kablo üzerinde de kullanılmakta ve 100 Mbps hızında performans sağlanmaktadır. Bu teknoloji Copper-Distributed Data Interface-CDDI teknolojisidir. Daha sonra bu teknoloji üzerinde kısaca durulacaktır. Fiber kablo, bakır kabloya göre şu üç konuda üstünlük sağlamaktadır. Bunlar; • • •

Güvenlik (Security): Fiber kabloda ışık (LED veya Lazer) kullanıldığından dolayı bakır kabloda kullanılan elektrik sinyalleri gibi elde edilemezler. Güvenlilik (Reliability): Fiber, dış etkilerden dolayı oluşacak elektriksel gürültüye karşı bağışık bir yapıya sahiptir ve etkilenmezler. Hız (Speed): Fiber, ışık hızıyla çalıştığından dolayı çok daha hızlı bir şekilde iletişim kurularak daha fazla bilgi gönderilebilir.

FDDI ağlarda 2 farklı tip fiber kablo kullanılır. Bunlar Single-mode ve Multi-mode fiber kablolardır. 3.9.2.2.

FDDI Fiziksel ve Ağa Giriş Özellikleri

FDDI ağların OSI Referans Modelinin 1.nci ve 2.katmanı ile ilgili 4 tane belli fonksiyonları gerçekleştiren özelliği tanımlanmıştır. Bunlar; a) Media Access Control (MAC): Bilgisayarların ağ ortamına nasıl gireceklerini tanımlar. Bu tanım içerisinde frame formatı, ağda gezen jetona nasıl data yükleneceği, fiziksel adreslemenin nasıl yapılacağı, Cyclic Redundancy Check (CRC) değerinin nasıl hesaplanacağı ve hata giderme mekanizması bulunmaktadır. b) Physical Layer Protocol (PHY): Data kodlamasını ve çözümlemesini tanımlar. Bu tanım içerisinde zamanlama (clocking), frame yapıya dönüştürme ve diğer bazı fonksiyonlar bulunmaktadır. c) Pysical Layer Medium (PMD): Transmisyon ortamının karakteristik özelliklerini tanımlar. Bu tanım içerisinde fiber optik link, güç değerleri, bit hata oranları, konnektörler bulunmaktadır. d) Station Management (SMT): FDDI istasyonundaki gerekli konfigürasyonlarını tanımlar. Bunlar arasında halka ve halka kontrol özellikleri, bir istasyonun halkaya alınması ve çıkarılması, halkanın ilk çalıştırılması, hata izolasyonu ve hata giderimi ve bazı istatistik değerlerin toplanması bulunmaktadır. 3.9.2.3.

FDDI İstasyon Bağlantı Tipleri

FDDI ağlarda kullanılan 3 çeşit bağlantı cihazları vardır. Bunlar; Tek Bağlantılı İstasyon (Single Attachment Station-SAS): Tek bir halkaya concentrator cihazı aracılığıyla bağlanan istasyondur. Bu tür istasyonlar halkadan herhangi bir sebepten dolayı bağlantıları kopsa, halka iletişimi üzerinde herhangi bir olumsuz etki oluşturmamaktadır. Çift Bağlantılı İstasyon (Dual Attachment Station-DAS): İki halkaya da bağlanan ve Şekil 3.11’de görüldüğü gibi A ve B olmak üzere iki tane portu bulunmaktadır. Bu tür istasyonlar herhangi bir sebepten dolayı bağlantıları kopsa, halka iletişimi etkilenmektedir.

39

Birincil Halka

İkincil Halka

Birincil Halka Port A

Port B

İkincil Halka

FDDI DAS Şekil 3.11 (Çift Bağlantılı İstasyon (Dual Attachment Station-DAS)) Çift Bağlantılı Yoğunlaştırıcı (Dual Attachment Concentrator-DAC): Ethernet ağlardaki hub’ların işlevinin aynısını FDDI ağlarda yapmaktadır. Ağda bulunan birincil ve ikincil halkaya da bağlanmakta ve ağda bulunan SAS makinelerden biri herhangi bir sebepten dolayı ağdan koptuğunda ağı çalışır durumda tutmaktadır. Bu da ağda bulunan bilgisayarların çok sık açılıp kapanabileceği düşünüldüğünde önemli bir problemi ortadan kaldırmaktadır. Birincil Halka

İkincil Halka

WAN

Concentrator

DAS

SAS

SAS

SAS

Şekil 3.12 (Çift Bağlantılı Yoğunlaştırıcı (Dual Attachment Concentrator-DAC)) 3.9.2.4.

FDDI Ağlarda Hata Toleransı

FDDI ağlarda 3 tane hata önleme mekanizması bulunmaktadır. Bunlar; Çift Halka (Dual Ring): FDDI teknolojisinin sağladığı en önemli hata önleme mekanizması çift halka olmasıdır. Eğer ağdaki bir bilgisayar bozulursa veya bir kablo bağlantısı koparsa otomatik olarak problem olan halka devre dışı bırakılarak iletişim diğer yedek halka üzerinden sağlanmaktadır. Böylece FDDI ağ tek halkalı bir ağ haline dönüşür. Oluşabilecek bazı problemleri inceleyelim.

40

1.nci İstasyon MAC Halka Dönüm Noktası

MAC

A

B

A

A

B

B

2.nci İstasyon

A Halka Dönüm Noktası

B

MAC

4.ncü İstasyon Bozuk Bilgisayar

MAC 3.ncü İstasyon

Şekil 3.13 (Çift Halka) Şekil 3.13’da görüldüğü gibi 4.ncü istasyon bozulmuştur. Fakat 1.nci ve 3.ncü istasyonlara bağlı olan ikincil bağlantı kullanılarak 1,2 ve 3.ncü istasyonların oluşturduğu tek halkalı bir halka oluşturulur. 1.nci İstasyon MAC Halka Dönüm Noktası

MAC

A

B

A

A

B

B 4.ncü İstasyon

2.nci İstasyon

A Halka Dönüm Noktası

MAC

B

Bozuk Kablo

MAC 3.ncü İstasyon

Şekil 3.14 (Çift Halka) Şekil 3.14’da görüldüğü gibi 4.ncü ve 3.ncü istasyonlar arasındaki bağlantılar kopmuştur. 4.ncü ve 3.ncü istasyonlara bağlı olan ikincil bağlantı kullanılarak 1,2 ve 4.ncü istasyonların oluşturduğu tek halkalı bir halka oluşturulur. FDDI ağda bulunan iki halkanın ikisinde de oluşacak hatayı giderecek bir mekanizma yoktur. Bu tür hatalar iletişimi kesecektir. Optik Bypass Anahtarı (Optical Bypass Switch): Optik bypass anahtarı, halka içinde bulunan çift bağlantılı bir istasyonun herhangi bir sebepten dolayı ağdan kopması halinde daha önce olduğu gibi ikincil halkayı kullanarak tek bir halka oluşturmadan içerisinde bulunan aynaları kullanıp gelen ışık sinyalini yansıtır. Böylece halkanın tamamlanmasını sağlar. Dolayısıyla ağda yine birincil ve ikincil halka olmak üzere iki tane halka oluşmaktadır.

41

1.nci İstasyon

1.nci İstasyon

MAC

MAC Bozuk Bilgisayar

A

A

B

B Optik Bypass Anahtar

Optik Bypass Anahtar

A

A MAC

B

B 4.ncü İstasyon

2.nci İstasyon

A

A

A

B

B

MAC

MAC

MAC

4.ncü İstasyon

2.nci İstasyon

A

B

B

MAC

MAC

3.ncü İstasyon

3.ncü İstasyon

Şekil 3.15 (Optik Bypass Anahtar) Çift Bağlantılılık (Dual Homing): Ağda bulunan yönlendirici ve sunucu makineler gibi bazı önemli cihazların ağda devamlı olarak çalışır durumda olması çok önemlidir. Dolayısıyla bu tür cihazların yoğunlaştırıcıyla iki bağlantı kurulması gerekmektedir. Bu tür cihazlara çift bağlantılı (dual-homed) denir. Yönlendiriciler

Concentrator

Birincil Halka

İkincil Halka

Concentrator

Dosya Sunucular

Şekil 3.16 (Çift Bağlantılılık) Şekil 3.16’de görüldüğü gibi yönlendirici veya dosya sunucularına bağlı olan iki bağlantının biri aktif diğeri pasif olarak belirlenir. Normal zamanda aktif olan bağlantıyla iletişim kurulur. Fakat bu bağlantı da bir hata oluşursa otomatik olarak pasif bağlantı devreye girer ve iletişim bu hat üzerinden sağlanır. 3.9.2.5.

FDDI Frame Formatı 42

FDDI frame yapısı genel olarak Token-Ring frame yapısına benzemektedir. FDDI frame en fazla 4500 byte büyüklüğünde olmaktadır. Frame Başlangıcı

Başlangıç Sınırı (1 byte)

Giriş Kontrolü (1 byte)

Bitiş Sınırı (1 byte)

FDDI jetonu Frame Başlangıcı

Başlangıç Sınırı (1 byte)

Frame Kontrol (1 byte)

Hedef Adresi (6 byte)

Kaynak Adresi (6 byte)

Data (≥0 byte)

FCS (4byte)

Bitiş Sınırı (1byte)

Frame Statüsü (1 byte)

FDDI Bilgi/Komut frame Frame Başlangıcı (Preamble): İstasyonu gelmekte olan frame yapısına hazırlar. Başlangıç Sınırı (Start Delimiter): Yeni bir frame yapının başlangıcını frame yapının arkadan gelen kısmından farklı bir sinyalleşme ile belirtir. Frame Kontrol (Frame Control): Adres alanların büyüklüğünü ve frame yapının eş zamanlı veya eş zamanlı olmayan bilgi içerip içermediğini belirtir. Hedef Adresi (Destination Address): Frame yapının gönderildiği bilgisayarın MAC adresidir. Kaynak Adresi (Source Address): Frame yapıyı gönderen bilgisayarın MAC adresidir. Data: Kontrol bilgisi ve üst-katman protokollerine gönderilen bilgiyi içerir. FCS (Frame Check Sequence): Frame yapıyı oluşturan bilgisayar tarafından belli bir algoritma kullanılarak data alanı üzerinde yapılan işlemin sonucunu içerir. Hedef bilgisayar da aynı şekilde hesap yaparak sonuçları karşılaştırır ve frame yapının bozulup bozulmadığına karar verir. Bitiş Sınırı (End Delimiter): Frame yapının sonunu belirtir. Frame Statüsü (Frame Status): Data/Komut frame yapının sonlandırıldığını belirtir. Adresin tanınıp tanınmadığını ve frame yapının kopyalanıp kopyalanmadığını belirtir. 3.9.3.

Copper Distributed Data Interface (CDDI)

CDDI teknolojisi, FDDI teknolojisinin bakır kabloya uyarlanmış türüdür. CDDI ağlar da çift halka mimarisi ve 100 Mbps hız ile çalışan ağlardır. Maksimum 100 metrelik bağlantı kullanılabilmektedir. CDDI standartı ANSI X3T9.5 komitesi tarafından çıkarılmış ve standardın resmi adı Twisted-Pair Physical Medium Dependent (TP-PMD)’dır. CDDI ağlar için 150 ohm’luk STP ve UTP kablolar kullanılabilmektedir. 3.9.4.

Ethernet Teknolojileri

Ethernet, 4 farklı kategorisi bulunan bir lokal ağ uygulamalar grubudur. Bu teknolojiler şunlardır; • Ethernet ve IEEE 802.3: 10 Mbps hızında koaksiyel ve UTP kablo üzerinde çalışır. • Fast Ethernet: 100 Mbps hızında çift bükümlü (STP veya UTP) kablolar üzerinde çalışır. • Gigabit Ethernet: 1000 Mbps (1 Gbps) hızında fiber kablo ve çift bükümlü kablolar üzerinde çalışır. • 10 Gigabit Ethernet: 10.000 Mbps (10 Gbps) hızında fiber kablo üzerinde çalışır. Ethernet, genel olarak çok esnek, diğer teknolojilere göre uygulanması, yönetilmesi ve anlaşılması çok daha kolay olmasından dolayı yaygındır. Özellikle kampüs ağlarının kurulması ve

43

büyük ağlarda omurga yapısını oluştururken Ethernet teknolojisinin Gigabit ve 10 Gigabit Ethernet kategorileri etkili bir şekilde performans sağlamaktadır. 3.9.4.1.

Ethernet ve IEEE 802.3

1960’lı yıllarda Hawaii Üniversitesi tarafından Carrier Sense Multiple Access with Collision Detection (CSMA/CD) ağa giriş tekniği keşfedildi. Ethernet, 1973 yılında Xerox’un Palo Alto Araştırma Merkezindeki (Palo Alto Research Center-PARC) Robert Metcalfe ve David Boggs tarafından koaksiyel kablo üzerinde ilk olarak 2,94 Mbps daha sonra da 10 Mbps hızında CSMA/CD ağa giriş tekniğini kullanan bir lokal ağ teknolojisi olarak geliştirildi. Fakat kısa zamanda bütün CSMA/CD ağlar için kullanılan bir kavram haline geldi. CSMA/CD tekniği daha önce detaylı olarak bahsedilmişti. Ethernet belli zamanlarda trafik yoğunlaşması olan ve kilitlenen ağlar için dizayn edildi. Ethernet 2.0 versiyonu Intel Corporation, Digital Equipment Corporation ve Xerox tarafından geliştirildi. 1980 yılında IEEE tarafından Ethernet teknolojisine dayanan IEEE 802.3 standardı yayınlandı. Bu standart tamamen Ethernet teknolojisi ile uyumludur. Ethernet ve IEEE 802.3 aynı NIC kartına uygulanabilmektedir. IEEE 802.3 farklı kablolama seçenekleri sunmaktadır. Bunlardan 10Base5, Ethernete en yakın olan standarttır.

Ethernet

Laser printer

Şekil 3.17 (Ethernet) Ethernet ve IEEE 802.3 Çalışma Sistemi: Bu kitapta bundan sonra Ethernet kavramı Ethernet ve IEEE 802.3 teknolojinin ikisi için de tek kavram olarak kullanılacaktır. Ethernet ağlar broadcast ile çalışan ağlardır. Yani ağdaki bir bilgisayarın gönderdiği frame Şekil 3.17’de görüldüğü gibi ağdaki herkes tarafından görülmekte fakat frame yapıda MAC adresi yazılı ilgili bilgisayar tarafından işlenmektedir. Bu bilgisayar aldığı bilgiyi üst katmandaki protokollere verir. Fakat bu, kurulan lokal ağın topolojisine göre değişir. Eğer ağınız yıldız topoloji ise ve merkezde anahtar kullandıysanız sadece ilgili bilgisayara anahtar tarafından yönlendirilir. Tabii ki yine bilgisayarlar frame yapıyı broadcast şeklinde gönderirler. Yani ağ broadcast tabanlı çalışır. Ağa her bilgisayar istediği zaman girebilmektedir. Eğer aynı anda iki bilgisayar ağın sessiz olduğunu düşünüp ağa bilgi bırakırsa bu bilgiler çarpışır (collision). CSMA/CD algoritmasını kullanarak tespit ettikleri bir zaman sonra tekrar ağa data bırakırlar ve iletişimi gerçekleştirirler. Ethernet ve IEEE 802.3 Servis Farklılıkları: Ethernet ve IEEE 802.3 standartları arasında bazı farklılıklar bulunmaktadır. Ethernet teknolojisi OSI modelinin 1 ve 2.nci katmanlarına yönelik servisleri desteklemektedir. Fakat IEEE 802.3 standardı OSI modelinin Fiziksel katmanına ve 2.katmanın kanal giriş kısmıyla ilgili servisleri desteklemektedir. Fiziksel katmanda Ethernet tek standarda sahip olmasına rağmen IEEE 802.3 standardı birçok standardı içermektedir. Ayrıca IEEE 802.3 standardı LLC alt katmanı tanımlanmamıştır. OSI KATMANLARI

LAN SPESİFİKASYONLARI

44

LLC Altkatmanı

Fiziksel Katman

IEEE 802.3 görülmektedir. ÖZELLİKLER Bilgi Akış Hızı Sinyalleşme Metodu Maksimum Segment Uzunluğu Ortam Topoloji

standardında

Fiziksel

Katmanda

içerilen

FDDI

100BASE-T

MAC Altkatmanı

IEEE 802.3

Ethernet

Data Link Katmanı

Token Ring / IEEE 802.5

IEEE 802.2

standartlar

Tablo

3.4’de

Ethernet

10Base5

10Base2

10BaseT

10BaseFL

100BaseTx

10 Mbps

10 Mbps

10 Mbps

10 Mbps

10 Mbps

100 Mbps

Baseband

Baseband

Baseband

Baseband

Baseband

Baseband

500 m

500 m

185 m

100 m

2000 m

100 m

50-ohm coax (thick)

50-ohm coax (thick)

50-ohm coax (thin)

UTP

Fiber Kablo

UTP

Bus

Bus

Bus

Yıldız

Point-topoint

Bus

Tablo 3.4 (Ethernet Teknolojileri) Ethernet ve IEEE 802.3 Frame Formatları: Ethernet ve IEEE 802.3 frame yapısı aşağıda görülmektedir. Frame Başlangıcı (8 byte)

Hedef Adres (6 byte)

Kaynak Adres (6 byte)

Tip (2 byte)

Data (46-1500 byte)

FCS (4 byte)

Ethernet Frame Frame Başlangıcı (7 byte)

Frame Sınırı Başlangıcı (1 byte)

Hedef Adres (6 byte)

Kaynak Adres (6 byte)

Uzunluk (2 byte)

802.2 Başlığı ve Data (64-1500 byte)

FCS (4 byte)

IEEE 802.3 Frame

Frame Başlangıcı (Preamble): Bilgiyi almakta olan istasyona bir ve sıfırlardan oluşan kombinasyon ile yeni gelmekte olan frame yapısını bildirir. Ethernette 8 byte olan frame başlangıcı, IEEE 802.3 standardında 7 byte frame başlangıcı ve 1 byte olan frame sınırı başlangıcı alanlarına denktir. Frame Sınırı Başlangıcı (Start-of-Frame): Bu alan frame yapının başlangıcını belirtmek üzere iki ardışık 1 bitiyle bitmektedir. Ethernette ise bu frame başlangıcı (preamble) alanı ile sağlanmaktadır. Hedef ve Kaynak Adresi (Destination and Source Addresses): 6 byte’lık hedef ve kaynak bilgisayarların MAC adresleridir. Kaynak MAC adresi her zaman için unicast, hedef MAC adresi ise unicast, multicast ve broadcast olabilir.

45

Tip (Type): Ethernet frame yapının 2.nci katmanı işlemi tamamlandıktan sonra gönderilecek üst katman protokolünü tanımlar. Uzunluk (Length): Bu alandan sonraki datanın ne kadar büyüklükte olduğunu tanımlar. Data: Kontrol bilgisi ve üst-katman protokollerine gönderilen bilgiyi içerir. Bu alanda Ethernet için minimum 46 byte, IEEE 802.3 için 64 byte bilgi içermelidir. FCS (Frame Check Sequence): Frame yapıyı oluşturan bilgisayar tarafından belli bir algoritma kullanılarak data alanı üzerinde yapılan işlemin sonucunu içerir. Hedef bilgisayar da aynı şekilde hesap yaparak sonuçları karşılaştırır ve frame yapının bozulup bozulmadığına karar verir. 3.9.4.2.

Fast Ethernet

100 Mbps hızındaki Fast Ethernet, ağdaki kullanıcılara yüksek hızda sunuculara ulaşma, daha performanslı bir şekilde uygulama çalıştırma imkanı veren lokal ağ teknolojisidir. IEEE, 1990’lı yılların başında fast ethernet standardı için bir grup oluşturdu. Fakat bu grup 100 Mbps hızı için oluşturulacak standardın ağa giriş metodundaki farklı anlayışlardan dolayı iki ayrı çalışma grubuna ayrıldı. CSMA/CD giriş metodunun kullanılmasını savunan grup, 1995 yılı Haziran ayında IEEE 802.3u 100BaseT standardını açıkladı. Bu standart 100 Mbps hızında, UTP ve STP kablo kullanılmakta olup IEEE 802.3 MAC alt katmanı ile uyumludur. Bu standardın en önemli özelliklerden biri kullanılmakta olan ağlarda hem kablolama hem de kullanılan yazılımlar (SNMP ve MIB gibi) için değişiklik söz konusu değildir. Çünkü Ethernet standardında belirlenen frame yapının formatı, büyüklüğü ve hata tespit mekanizması korunmaktadır. 100BaseT ağlarda maksimum ağ çapı 205 metredir. Fast Ethernet, Ethernet ağlardaki gibi aynı çarpışma belirleme (collision-detection) mekanizmasını kullanmaktadır. Ethernet ağlarda mesafe sınırları en küçük frame olan 64 byte’lık datanın aynı anda çarpışma etki alanının (collision domain) en uzak yerinde konuşlandırılmış başka bir bilgisayarın göndermek istediği frame ile çarpışmasıyla tanımlanmıştır. Diğer çalışma grubu da 100VG-AnyLAN standardını açıkladı. Bu standart 100 Mbps hızında Token-Ring ve Ethernet uygulamasının birleşimi olup UTP kablo kullanılmaktadır. 100VG-AnyLAN, IEEE 802.3 MAC alt katmanı ile uyumlu değildir. Hewlett-Packard (HP) tarafından geliştirilen bu standart IEEE tarafından IEEE 802.12 adıyla onaylanmıştır. Bu standart zamana-hassas uygulamalar için geliştirilmiştir. Ethernet ve Fast Ethernet’in bir arada kullanıldığı ağlarda herhangi bir frame yapının dönüşümü söz konusu olmadığından ağ performansı artmaktadır. Eğer Ethernet ile 100 Mbps veya daha yüksek hızlarda iletişim sağlayan 100VG-AnyLAN, FDDI veya ATM gibi teknolojilerle 2.nci katman anahtarlar kullanılarak bir ağ kurulsa frame yapının mutlaka dönüştürülmesi gerekecektir. Bu da iletişimde gecikmeye sebep olacaktır. 100BaseT Donanım Özellikleri Fiziksel Ortam (Physical Medium): Fast Ethernet ağlarda UTP, STP ve Fiber olmak üzere 3 farklı kablo kullanılabilmektedir. Fiziksel katmanda bu üç farklı kablo için standartlar vardır. Bunlar; • • •

100BaseT4 Cat 3, 4 ve 5 UTP kablo kullanılır. 100BaseTX Cat 5 UTP ve STP kablo kullanılır. 100BaseFX 62,5/125 mikron multi-mode fiber kablo kullanılır.

ÖZELLİKLER

100BaseTX

100BaseFX

46

100BaseT4

Kablo

Cat 5 UTP ya da Tip 1 ve 2 STP

62.5/125 mikron multi-mode fiber

Cat 3,4 ve 5 UTP

Çift Sayısı

2 çift

2 strand

4 çift

Konnektör

RJ-45

Duplex SC, media-interface konnektör (MIC) ST

RJ-45

Maksimum segment uzunluğu

100 m

400 m

100 m

Maksimum ağ uzunluğu

200 m

400 m

200 m

Tablo 3.5 (Fast Ethernet) Şekilde 3.18’de görüldüğü üzere 100BaseTX ve 100BaseT4 için link uzunluğu maksimum 100 metre, ağ çapı 200 metredir.

Link Maksimum Uzunluğu =100m Ağ Maksimum Uzunluğu =200m

Ethernet

Ethernet

Şekil 3.18 (100BaseT Ağ Uzunluğu) Şekilde 3.19’da görüldüğü üzere 100BaseFX iki bilgisayar arası 400 metre, arada bir ağ cihazı kullanılmışsa 300 metredir.

Maksimum Uzaklık = 400m

Maksimum Uzaklık = 300m

Şekil 3.19 (100BaseT Ağ Uzunluğu) Fast Ethernet Opsiyonel Özellikleri Full-Dupleks: Full-dupleks, çarpışma belirleme ve loopback fonksiyonları uygulamadan kaldırılarak çift yönlü toplamda 200Mbps hızı elde edilen iletişimdir. Full-dupleks ayrıca uçtan uca mesafe sınırını fiber kablolarda 2 km’ye çıkarmaktadır. Sadece anahtarlar kendisine direkt bağlı olan sunuculara ve son kullanıcılara full-dupleks imkanı vermektedir. 100BaseT hub’lar çarpışmayı tespit edebilmeleri için half-dupleks de çalışmak zorundadırlar. Full-dupleks 100BaseT ağlarda son kullanıcıların performansından daha çok omurga iletişiminin performansını artırmaktadır. Çünkü istemci/sunucu (client/server) uygulamalar oku/yaz (read/write) asimetrik trafik göndermektedirler.

47

Autonegotiation: Birbirlerine bağlı olan iki cihazın otomatik olarak birbirlerinin özelliklerini aktardıkları ve maksimum düzeyde birlikte çalışabilmeleri için gerekli ayarları yaptıkları sistemdir. Örneğin bu sistem sayesinde 100 Mbps hızındaki bir hub kendisine bağlanan bir bilgisayarda 10 Mbps ya da 100 Mbps hızında NIC kartının olduğunu ve half-duplex veya full-duplex modda olup olmadığını tespit eder. Tespit ettiği şekilde ayarları yaparak uygun modda çalışır. 3.9.4.3.

100VG-AnyLAN

100VG-AnyLAN teknolojisi, HP tarafından multimedya gibi zamana hassas uygulamalar için CSMA/CD teknolojisine alternatif olarak geliştirildi. Ortama giriş metodu ağdaki istasyonun talebine dayanmaktadır. Bu teknolojide şu kablolar kullanılmaktadır;

• • • •

4-pair Cat 3 UTP 2-pair Cat 4 ya da 5 UTP STP

Fiber Optik Bu teknolojide son kullanıcı ile hub veya anahtar arasındaki mesafe Cat 3 UTP kablo için 100 metre, Cat 5 UTP kablo için 150 metredir. Cat 5 UTP 150m Cat 3 UTP 100m

Şekil 3.20 (100VG-AnyLAN Ağ Uzunluğu) 100VG-AnyLAN hub veya anahtarları hiyerarşik bir şekilde bağlanabilirler. Her bir anahtar ya da hub’ın enaz bir uplink portu vardır. Diğer portları da downlink portu olarak kullanılabilirler. Hub’lar uplink ve downlink bağlantılarla 3 katmanlı olabilirler. Hub’lar arasında yine CAT 3 UTP kablo için 100, Cat 5 UTP kablo için 150 metrelik bağlantılar kurulmaktadır. Uplink Port

Cat 3 UTP 100m Cat 5 UTP 150m

Downlink Port

Cat 3 UTP 600m Cat 5 UTP 900m

Şekil 3.21 (100VG-AnyLAN Ağ Uzunluğu) 100VG-AnyLAN Çalışma Sistemi Bu teknoloji çarpışmaları önleyen ağa girişte istek önceliğine göre çalışır. Sistemi 100VGAnyLAN hub yönettiğinden dolayı CSMA/CD ağlara göre daha belirli (deterministic) çalışan ağlardır. Şekil 3.21’de görüldüğü üzere en üstteki kök (root) hub veya tekrarlayıcı sistemi yönetir. Ağa data göndermek isteyen bilgisayar, bu isteğini kök hub’a bildirir. Eğer ağ boş ise hub hemen data gönderebileceğini bildirir ve iletişim başlatılır. Eğer aynı anda birden fazla istek

48

gelmişse, hub round-robin tekniğini kullanarak istekleri sıraya koyar. Zamana hassas video konferans uygulamaları gibi yüksek öncelikli uygulamalar normal öncelikli uygulamalardan daha önde sıraya konur. 3.9.4.4.

Gigabit Ethernet

Fast Ethernet standardının genişletilmiş hali olan Gigabit Ethernet, 10 kat daha verimli çalışarak 1000 Mbps veya 1 Gbps hızına ulaşmaktadır. Bu teknoloji özellikle omurga iletişimde ve sunucu bağlantılarında ciddi bir performans sağlamaktadır. 100 Mbps hızındaki Fast Ethernet teknolojisini 1 Gbps hızına ulaştırmak için fiziksel katmanda bazı değişikliklerin yapılması gerektiği anlaşıldı. Bu değişiklik IEEE 802.3 ve ANSI X3T11 Fibre Channel teknolojisi birleştirilerek yapıldı. Fibre Channel teknolojisinin yüksek hızlı fiziksel arayüzü ile IEEE 802.3 Ethernet teknolojisinin frame formatı ve half-dupleks, full-dupleks özelliklerinin bir araya getirilmesiyle IEEE 802.3z Gigabit Ethernet standardı oluşturulmuş oldu. Gigabit Ethernetin Fiziksel Katmanı Gigabit Ethernet standardının 4 farklı çeşit transmisyon ortamı vardır. Bunlar; • • • •

1000BaseLX single-mode ve multi-mode fiber kablo üzerinden 550-3000 metreye kadar desteklenen uzun dalga lazer transmisyon ortamı 1000BaseSX multi-mode fiber kablo üzerinden 250-550 metreye kadar desteklenen kısa dalga lazer transmisyon ortamı 1000BaseCX 150-ohm bakır kablo üzerinden 25 metreye kadar desteklenen transmisyon ortamı 1000BaseT Cat 5 UTP kablo üzerinden 100 metreye kadar desteklenen transmisyon ortamı

1000BaseLX, 1000BaseSX ve 1000BaseCX IEEE tarafından IEEE 802.3z, 1000BaseT ise IEEEE 802.3ab olarak tanımlanmıştır. Gigabit Ethernet Arayüz Taşıyıcısı (Gigabit Ethernet Interface Carrier-GBIC) GBIC arayüzü, ağ yöneticilerine bakır fiziksel arayüzleri gibi port port uzun ve kısa dalga fiber ayarlarını yapma imkanı verir. Böylece anahtar üreticilerine son kullanıcıların gerekli topoloji ayarlarını yapabilecekleri tek fiziksel anahtar veya anahtar modülleri üretme fırsatı verilmiş olur. 1000 Mbps MAC 802.3z CSMA/CD Ethernet

GBIC

1000BaseCX 25m

1000BaseT 100m

1000BaseSX 500m

1000BaseLX 3km

Gigabit Ethernetin MAC Katmanı Gigabit Ethernetin Mac katmanı, Fast Ethernet ve Ethernet teknolojilerin MAC katmanına benzemektedir. Gigabit Ethernet hem half-dupleks hem de full-dupleks iletişimi

49

desteklemektedir. Fast Ethernet ve Ethernet teknolojisinin half-dupleks iletişiminde olmayan iki fonksiyon bulunmaktadır. Bunlar frame patlaması (frame bursting) ve taşıyıcı genişletmedir (carrier extension). Half Dupleks Transmisyon (Half Duplex Transmission): Ethernet ve Fast Ethernet ağlardaki gibi ortama data CSMA/CD tekniğiyle bırakılır. Etherneti Gigabit Ethernet hızına çıkarmak istediğinizde bazı zorluklarla karşılaşılır. Daha önce bahsedildiği üzere Ethernet ağlarda mesafe sınırları en küçük frame olan 64 byte’lık datanın aynı anda çarpışma etki alanının (collision domain) en uzak yerinde konuşlandırılmış başka bir bilgisayarın göndermek istediği frame ile çarpışmasıyla tanımlanmıştır. Hesaplanan bu en uzak mesafe, mesafe sınırı olarak kabul edilmiştir. 100 Mb hızından daha yüksek hızlarda en küçük frame yapı (64 byte) slot-time içinde iletilebilen frame yapıdan çok daha küçüktür. (slottime Ethernet MAC katmanının çarpışmaları kontrol altında tutabilmesi için gerekli olan zaman birimidir) Bu problemin çözümü bu küçük frame yapının genişletilmesi şeklindedir. Slot-time için yeterli olacak şekilde frame yapıya bit eklenir. Böylelikle Ethernetteki çarpışma belirleme (collision detection) işlevi Gigabit Ethernet için de tanımlanmış olur. Ethernet standardına eklenen diğer bir özellik frame patlamasıdır (frame bursting). Gigabit Ethernette gönderilen frame yapı Ethernete göre çok daha hızlı gideceğinden frame yapılar arasında boşluklar oluşmakta ve başka bilgisayarlar tarafından ağ boş olarak algılanabilmektedir. Gigabit Ethernet ağlarda data gönderen bilgisayar frame yapılar arasına bitler koyarak başka bilgisayarlar tarafından ağın boş olarak algılanmasını önlemektedir. Bütün bu özellikleriyle Gigabit Ethernette half-dupleks önemli ölçüde verimsizdir. Full-Dupleks Transmisyon (Full-Duplex Transmission): Full-Dupleks, tek bir kablo üzerinden aynı anda bilgi gönderme ve almadır. Full-Dupleks iki anahtar arasında, anahtar ve sunucu arasında, anahtar ve yönlendirici arasında uygulanabilmektedir. Full-Dupleks, Ethernet ağın bant aralığını 10 Mbps’dan 20 Mbps’a ve Fast Ethernet ağın bant aralığını 100 Mbps’dan 200 Mbps’a çıkarmaktadır. Gigabit Ethernetin de bant aralığı 1 Gbps’dan 2 Gbps’a yükselmektedir. Ful-Dupleks modda çarpışmalar gerçekleşmemektedir. IEEE 802.3x Akış Kontrolü (Flow Control): Akış kontrol mekanizması noktadan-noktaya olan link üzerinde iki istasyon arasında kurulabilir. Eğer datayı alan bilgisayar, datayı almakta yavaş kalıp tıkanmışsa gönderen bilgisayara ‘data göndermeyi durdur’ diye mesaj gönderir. Bu mesaj, gönderen bilgisayarın data göndermesini belli bir süre için durdurtur. Daha sonra alan bilgisayar, tekrar data göndermesini belirten bir mesaj göndererek; gönderen bilgisayarın kaldığı yerden data gönderme işlemini başlatır. 2. Anahtar yoğun trafikten dolayı tıkanır ve ‘DUR’ mesajı gönderir.

Gigabit Ethernet Anahtar

Dosya Sunucu

1. Sunucu anahtara data gönderir. 3. Sunucu belirli bir süre bekler ve data gönderimini durdurur.

Şekil 3.22 (Akış Kontrolü) Lokal Ağda Gigabit Ethernete Geçiş (Gigabit Ethernet Migration): Lokal ağın performansını artırmak için ağ yapısında bazı değişiklikler yapılabilir. Alternatif değişikliklerden bazıları şunlardır;

50

• • • • •

Anahtar-anahtar arasındaki bağlantılar Anahtar-sunucu arasındaki bağlantılar Anahtarlanmış Fast Ethernet omurgası FDDI omurga Yüksek Performanslı çalışma grupları

Anahtar-anahtar arasındaki bağlantılar Anahtarlar arasındaki Fast Ethernet bağlantısını Gigabit Ethernet modülüyle 1 Gbps bant aralığına çıkartılır. Böylelikle yeni eklenecek son kullanıcılar ağdaki performansı etkilemez. Gigabit Ethernet Modüller Sunucular

Sunucular

Sunucular

Sunucular

100 Mbps

100 Mbps 1000 Mbps

100 Mbps

Hub

Fast Ethernet Anahtar

Fast Ethernet Anahtar

Hub

Hub

100 Mbps

Hub

100 Mbps 10/100 Anahtar

10/100 Anahtar

10 Mbps

10 Mbps

Son Kullanıcılar

Son Kullanıcılar

Şekil 3.23 (Anahtar-anahtar arası Gigabit bağlantı) Anahtar-sunucu arasındaki bağlantılar Özellikle sunucuların çok yoğun olarak kullanıldığı ve bu sunucuların birbirlerine ihtiyaç duyduğu ağlarda anahtar ile sunucu arasındaki Fast Ethernet bağlantının Gigabit Ethernet NIC kartları takılarak Gigabit bant aralığına çıkartılmalıdır. Gigabit Ethernet NIC Kartları

Gigabit Ethernet Modüller Sunucular

Sunucular

Sunucular

Sunucular

100 Mbps

1000 Mbps 1000 Mbps

100 Mbps

Hub

Fast Ethernet Anahtar

100/1000 Anahtar

Hub

Hub

100 Mbps

Hub

100 Mbps 10/100 Anahtar

10/100 Anahtar

10 Mbps

10 Mbps

Son Kullanıcılar

Son Kullanıcılar

Şekil 3.24 (Anahtar-sunucu arası Gigabit bağlantı) Fast Ethernet omurgası-Gigabit Ethernet Omurgası Şekil 3.25’de görüldüğü gibi Fast Ethernet omurgası kullanılan anahtar ve yönlendiricilere Gigabit Ethernet modül takılarak Gigabit Bant aralığına yükseltilebilir. Hatta sunucular da bu omurgaya Gigabit NIC kartları

51

takılarak da eklenip kullanıcıların çok daha hızlı bir şekilde sunucuları kullanması sağlanabilir. Ayrıca Gigabit bant aralığına yükseltilen omurgaya daha fazla sayıda bilgisayar bağlayabilirsiniz. Gigabit Ethernet NIC Kartları

Gigabit Ethernet Modüller Sunucular

Sunucular

Sunucular

Sunucular

100 Mbps

1000 Mbps 1000 Mbps

100 Mbps

Fast Ethernet Anahtar

Hub

100/1000 Anahtar

Hub

Hub

100 Mbps

Hub

1000 Mbps 10/100 Anahtar

10/100 Anahtar Gigabit Ethernet

10/100 Mbps

10 Mbps Son Kullanıcılar

Son Kullanıcılar

Şekil 3.25 (Gigabit Ethernet Omurga) FDDI omurga FDDI ağlarda bulunan yoğunlaştırıcı (concentrator) Gigabit Ethernet Anahtarı ile değiştirilerek bu anahtara bağlanacak yoğunlaştırıcılar ile hem ağ genişletilebilir hem de ağ performansı Gigabit bant aralığına yükseltilebilir. Yüksek Performanslı çalışma grupları Ağdaki bilgisayarlara Gigabit Ethernet kartı takılarak kullanıcılara Gigabit Bant aralığı imkanı sağlanabilir. Sunucular

NIC

Sunucular

Gigabit Ethernet Anahtar

NIC Hub

NIC

Gigabit Ethernet NIC

FDDI Yoğunlaştırıcı

NIC

NIC

NIC NIC

NIC

NIC

NIC

NIC

FDDI NIC

NIC

Şekil 3.26 (Yüksek Performanslı çalışma grupları) 3.9.4.5.

10 Gigabit Ethernet

10 Gigabit Ethernet, IEEE 802.3 MAC protokolünü ve IEEE 802.3 standardının frame formatını, maksimum ve minimum frame büyüklüğünü kullanır. 10 Gigabit Ethernet standardı IEEE 802.3ae olarak tanımlanmıştır. Bu standart sadece fiber kablo üzerinde ve full-dupleks modunda çalışır. 10 Gigabit Ethernet hem single-mod hem de multi-mod fiber kabloyu desteklemektedir. Bu standart Single-mod fiber kabloyu 40 km’ye kadar desteklemektedir. Bütün bu özelliği ile 40 km çapındaki şirket kampüsü tek bir lokal ağ haline getirilerek yönetilebilmektedir. Ayrıca multi-mod fiber kablo ile sunucular arasında ve anahtarlar arasındaki omurga iletişime performans kazandırılabilmektedir. Ağ omurgasında 10 Gigabit Ethernet kurulduktan sonra son kullanıcılara da yine 40 km çapındaki bir ağda canlı video, tıbbi görüntüleme (ameliyat), merkezi özel uygulamalar ve

52

yüksek bant aralığı gerektiren grafik programları gibi uygulamaları sunmak üzere Gigabit Ethernet desteği verilebilir. Ayrıca ağın omurga performansının artmasından dolayı yedekleme (back-up) ünitelerinin kullanımı bütün bir ağa genişletilebilmektedir. AĞ DİZAYNI VE KABLOLAMA Bu kitapta buraya kadar anlatılanlarla okuyucu OSI modelinde gönderilecek bilginin nasıl oluşturulduğunu ve 1.nci, 2.nci katmanda kullanılan standartlar ve teknolojileri öğrenmiş oldu. Artık okuyucu elde ettiği bu teorik bilgiler eşliğinde ağ dizayn edebilmelidir. Bu yeni bölüm ile bu yetkinliği de kazanabilecektir. Ağ dizaynını oluştururken belli bir prosedür takip edilmelidir. Gerek ağ dizaynını oluştururken gerek ağı kurarken gerekse kurulu bulunan ağdaki problemleri giderirken prosedür hep 1.nci katmandan başlar. Daha sonra 2.nci ve 3.ncü katman şeklinde devam eder. Öncelikle lokal ağda kullanılacak teknolojinin belirlenmesi gerekmektedir. Ethernet, FDDI ve Token-Ring teknolojilerinin farklı avantajları ve dezavantajları bulunmaktadır. Bütün bunlar dikkate alınarak ya bütünüyle tek bir teknoloji ya da farklı bölümler için farklı teknolojiler kullanılacaktır. Kurulacak ağda Ethernet teknolojisi kullanılacaksa çarpışma etki alanlarının (collision domain) büyüklüğüne karar verilecek, gerekirse segmentasyon yapılacaktır. Böylece ağ performansı makul seviyede tutulmaya çalışılacaktır. Karar verilen teknolojiye göre konnektörler, kullanılacak kablolar, patch paneller ve fiziksel topolojiler belirlenecektir. Görüldüğü üzere bütün bunlar 1.nci katman unsurlarıdır. Bir sonraki adımda 2.nci katman lokal ağ topolojisi, kullanılacak anahtarların sayısı, konfigürasyonları ve konuşlandırılması, çarpışmaların azaltılması ve çarpışma etki alanlarının büyüklüğü belirlenecektir. Son adımda ise 3.ncü katman topolojisinin yapılandırılması, 3.ncü katman cihazların konuşlandırılması ve konfigürasyonları, WAN ve Internet bağlantısı, broadcast etki alanları belirlenecektir. Bütün bunlar yapıldıktan sonra dosya sunucuların, veritabanının ve ağ yönetimiyle ilgili sunucularının konuşlandırılması gerekmektedir. En son olarak da karar verilen her şeyin yazılı olarak kayıt altına alınması projenin yönetilebilirliğini kolaylaştıracaktır. 3.9.5.

Ağ Dizayn Prosedürü

Kurulacak ağın etkin perfomansla çalışması ve kullanıcıların ihtiyaçlarını karşılayabilmesi için, planlı ve sistematik adımların takip edilmesi gerekmektedir. İlk adım projenin gerçekleştirileceği organizasyon hakkında bilgi toplamaktır. Bu bilgiler organizasyonun mevcut ve geçmiş gelişimini, beklenilen büyümeyi, işleyen sistemi ve yönetim prosedürlerini, ofis sistemleri ve prosedürlerini ve ağı kullanacak olan kişilerin bakış açılarını içermelidir. Bu adım, problemleri ve üzerinde hassas olunması gereken konuları belirleyecektir. İkinci adımda ağı kullanacak kişilerin ihtiyaçlarının detaylı analizi ve maliyetinin belirlenmelidir. Son adımda ise organizasyonun kaynakları ve kısıtları belirlenmelidir. Ağın dizaynını etkileyecek kaynakları bilgisayarın donanım ve yazılım kaynakları ile insan kaynakları olarak iki başlığa ayırabiliriz. Organizasyonun mevcut bilgisayar donanım ve yazılım kaynakları ile istenen donanım ve yazılım kaynaklarının belirlenmesi gerekmektedir. Ayrıca ağı kullanacak ve yönetecek kişilere ne kadar bir eğitimin gerektiğinin de belirlenmesi gerekmektedir.

53

Elde edilen bilgilerin yazılı hale dönüştürülmesi projenin sağlıklı yürütülebilmesi açısından önemlidir. Yazılı dokümantasyon içerisinde bulunması gerekenler şunlardır; • • • • • 3.9.6.

Mühendislik Jurnali; yukarıda elde edilen bilgilerin hepsini içerir. Mantıksal ve Fiziksel Topoloji; topolojilerin ve kullanılacak teknolojileri içerir. Etiketlenmiş Data Prizleri, Patch Paneller ve Kablolar; kullanılacak etiketleri içerir. Data Prizlerin ve Kabloların Kullanılacak Yerlerin Listesi; Ağın kurulacağı yerde gerekli data prizlerin ve kabloların miktarını içerir. Kullanılacak Ağ Cihazların ve IP Adreslerin Listesi; 2.nci ve 3.ncü katman cihazların ve ağdaki IP yapılandırmasının listesini içerir. Ana Dağıtım Merkezi (Main Distribution Facility-MDF) ve Ara Dağıtım Merkezi (Intermediate Distribution Facility-IDF)

Bilgisayardan veya sunucudan hub, patch panel veya anahtara kadar olan kablolamaya yatay kablolama (horizantal cabling) denir. Hub’dan hub’a veya anahtarlar arasındaki kablolamaya dikey kablolama (vertical cabling) denir. Yatay kablolama merkezi bir yerde toplanmalıdır. Bu merkezi yerde hub, patch panel veya anahtar bulunacaktır. Bu merkezi yere dağıtım merkezi (distribution facility) denir. Eğer lokal ağda birden fazla dağıtım merkezine ihtiyaç duyuluyorsa dağıtım merkezlerinde bulunan hub veya anahtarlar da ana merkezde toplanarak geniş alan ağına (Wide Area Network-WAN) çıkış noktası oluşturulmalıdır. Bu dağıtım merkezlerine Ara Dağıtım Merkezi (Intermediate Distribution Facility-IDF) denir. Bu merkezlerin birleştiği yere de Ana Dağıtım Merkezi (Main Distribution Facility-MDF) denir. Lokal ağ Internete veya Geniş Alan Ağına (Wide Area Network-WAN) bağlanacaksa telekomünikasyon şirketinin kullanacağınız teknolojiye göre binanıza kablo döşemesi gerekmektedir. Bu kablonun sonlandırıldığı yere POP Noktası (Point-of-Presence-POP) denir.

IDF

IDF

MDF

IDF

IDF

POP

Şekil 3.27 (Dağıtım Merkezi) Şekil 3.27’de görüldüğü üzere bir binanın her katında bütün bilgisayarlardan gelen kablolar (horizantal cabling) IDF’de toplanmıştır. Daha sonra da IDF’ler kendi aralarında MDF’de toplanmış (vertical cabling) ve MDF’de WAN ve Internet bağlantısı için POP noktasına bağlanmıştır. Tablo 3.6’de IDF ve MDF’lerin olması gereken büyüklüklerini göstermektedir.

54

Tavsiye Edilen Büyüklük (10 m2'ye bir bilgisayar)

Kullanılan Alan (m)

2

(ft)

2

Dağıtım Merkezi Alanı (m)2

(ft)2

1000

10000

3.0 X 3.4

10 X 11

800

8000

3.0 X 2.8

10 X 9

500 5000 3.0 X 2.2 10 X 7 Tablo 3.6 (Dağıtım Merkezi Alan Büyüklüğü) Ara ve ana dağıtım merkezlerinde sağlıklı bir ağ yapısı oluşturulması için bazı çevresel standartlara uyulması gerekmektedir. Bu standartlar ¾ ¾ ¾ ¾ ¾ ¾

Duvar, zemin ve tavan yapımında kullanılan maddeler Sıcaklık ve nem Kullanılan ışık tipi ve konumu Elektrik prizleri Oda ve cihaza ulaşım yolları Kabloya ulaşım ve destek

gibi konuları içermektedir. MDF ve IDF için seçilecek odalar asma kat şeklinde olanı tercih edilmelidir. Asma kat odalar MDF için 4,8 kPA (100 lb/ft2), IDF için 2,4 kPA (50 lb/ft2) dayanıklılığa sahip olmalıdır. Zemin toz yapmayan ve statik elektrik bulundurmayan madde ile kaplanmalıdır. Patch paneller için 2,4 m yüksekliğinde ve 20 mm kalınlığında kontraplak duvara monte edilmelidir. Oda ve odadaki malzemeler yangına dayanıklı boya ile boyanmalıdır. Bütün LAN cihazları çalışıyorken oda sıcaklığı 21oC ve nem oranı %30-50 arasında olmalıdır. Kesinlikle oda içerisinde su ve buhar boruları bulunmamalıdır. Florasan lambalar data kabloları için parazit oluşturduklarından dolayı kullanılmamalıdır. Kullanılan lambalar minimum 50 mumluk olup 2,6 m yüksekte olmalıdır. Odalarda iki adet elektrik prizi bulunmalı ve prizler arasında 1,8 m mesafe bulunmalıdır. Elektrik prizleri yerden 15 cm yüksekte olmalıdır. Odanın giriş kapısı 90 cm genişliğinde ve dışarıya doğru açılmalıdır. Kilit dışarıda olmalı fakat içerideki kişi dışarıya kolayca çıkabilmelidir. Patch Paneller kontraplağa monte edilecekse, kontraplak duvardan 48 cm uzakta olmalıdır. Eğer Rack kabin kullanılıyorsa, duvardan 45-60 cm uzakta kapıdan ise 76 cm uzakta olmalıdır. Yukarıda anlatılan kriterlere uygun olarak alternatif ara ve ana dağıtım merkezleri belirlemelisiniz. Bu merkezleri ağı kuracağınız binanın krokisinde işaretleyiniz. Ayrıca bu kroki üzerinde ağa bağlanacak bütün cihazları da yerleştirmelisiniz. Daha sonra bu merkezlerden yarıçapı 50 m olan daireler çiziniz. Aşağıdaki soruları cevaplayarak ihtiyacınız olan dağıtım merkezini veya alternatif merkezleri belirleyebilirsiniz. 9 Dairelerden herhangi biri kesişiyor mu? 9 Bu alternatiflerden biri elenebilir mi? 9 Ağa bağlanacak cihazların hepsini içine alan daire var mı? 9 Alternatiflerden hangisi en iyi ihtimal olarak görülüyor? 9 Ağa bağlanacak cihazların bir kaçı da olsa alternatif daireler dışında kalıyor mu? 9 Hangi alternatif POP noktasına daha yakın? 9 Yukarıdaki soruların cevaplarına göre en iyi 3 alternatifi listeleyiniz.

55

9

Yukarıdaki soruların cevaplarına göre kaç dağıtım merkezi olmalıdır?

Farklı binalar için kullanılacak dağıtım merkezlerinin konuşlandırılması için de anlatılan metodun aynısı takip edilebilir.

Şekil 3.28 (Dağıtım Merkezi) 3.9.7.

Topraklama

Modern hayatın bir gerçeği olan elektriğin iki farklı formu bulunmaktadır. Bunlar; Değişken Akım (Alternating Current-AC) ve Doğru Akım (Directed Akım-DC) dır. AC ve DC sistemlerde her zaman için elektronların akım yönü negatiften pozitife doğrudur. Elektriksel akım ise daha az resistansı olan yol yönünü belirler. Evlerimizde ve işyerlerinde kullandığımız cihazlar AC olarak aldıkları elektriği DC’ye çevirerek kullanırlar. Kullandığımız cihazların hemen hepsi elektrikle çalıştığından dolayı evlerimiz ve işyerlerimizin her tarafı elektrikle çevrili durumdadır. Bu da data iletişimi için gürültü tehdidini de beraberinde getirmektedir. Ayrıca bu cihazların bir çoğu da üzerinde elektrik biriktirebilmektedir. Çoğumuz zaman zaman ufak elektrik şoklarını metal eşyalara dokunduğumuzda yaşamızdır. Metal cihazlar üzerinde biriken elektriğin de giderilmesi gerekmektedir. Aksi halde hem cihazlarımız zarar görecek hem de hayatımızı tehdit eden bir unsur haline gelebilecektir. Elektriğin toprağa verilmesine topraklama (grounding) denir. Topraklama işlemi kullanılan elektrik kablosunun topraklama ucuyla yapılabilir. Büyük binalarda çoğunlukla birden fazla topraklama gerekmektedir. Birden fazla binaların bulunduğu ağda da yine birden fazla topraklama gerekmektedir. Hem büyük binalarda hem de farklı binalarda yapılan birden fazla topraklamalar arasında potansiyel voltaj farkı olursa birbirine bağlı cihazlar arasında devre tamamlanmış olacaktır. Böylece negatiften pozitife doğru akım gerçekleşecektir. Bu devreye temas edecek kişi elektriksel bir şok yaşayacaktır. Buna ek olarak üzerinde potansiyel elektrik bulunduran hassas işlemcilere sahip cihazlar ciddi şekilde zarar görebileceklerdir. Birden fazla topraklamanın gerektirdiği durumlarda yukarıda anlatılan problemlerle karşılaşma riski olduğundan dolayı omurga kablolamasında fiber kablo tavsiye edilmektedir. Aynı bina içinde multi-mod, binalar arasında ise single-mod fiber kablo kullanılabilmektedir. Bilindiği gibi fiber kablolar elektriksel sinyal yerine ışık sinyali taşıdıklarından dolayı daha önce bahsedilen potansiyel voltaj farkı problemi oluşmamaktadır. 3.9.8.

Kesintisiz Güç Kaynağı (Uninterruptible Power Supplies-UPS)

56

AC akımda oluşan iniş ve çıkışlarda bazen kesiklikler olabilmektedir. Bu da bilgisayarınıza zarar verecek ve hatta bilgisayarınızdaki bilgilerin kaybolmasına sebep olabilecektir. Bu tip elektrik kesintilerine çare olarak kesintisiz güç kaynağı kullanılmalıdır. Bu cihazlar elektrik kesildiği an devreye girerek hiç elektrik kesilmemiş gibi bilgisayarınızın veya ağda bulunan herhangi bir cihazın devamlı çalışmasını sağlar. Özellikle ağ yönetiminde kullanılan sunucuların ve ağda önemli görevleri olan yönlendirici ve anahtar gibi cihazların mutlaka kesintisiz güç kaynağından yedek elektrik desteği alması gerekmektedir. Kesintisiz Güç Kaynakları kısa süreli elektrik kesintilerinin dezavantajlarını yok etmek üzere tasarlanmışlardır. Eğer uzun süreli elektrik kesintileri söz konusu ise jeneratör kullanılmalıdır. Batarya Şarjı

Güç Dönüştürücü

Batarya Şekil 3.29 (Kesintisiz Güç Kaynağı) İki farklı Kesintisiz Güç Kaynağı bulunmaktadır. Bunlar; • Sürekli Kesintisiz Güç Kaynağı (Continuous UPS) • Anahtarlanmış Kesintisiz Güç Kaynağı (Switched UPS)

Batarya Şarjı

Güç Dönüştürücü

Anahtar Batarya Şarjı

Güç Dönüştürücü

Batarya Batarya

Sürekli UPS

Anahtarlanmış UPS

Şekil 3.30 (Sürekli ve Anahtarlanmış UPS) Eğer bilgisayara Sürekli UPS bağlanmışsa elektrik kesilse de kesilmese de bilgisayar UPS’den gelen elektriği kullanacaktır. Devamlı bir şekilde UPS içindeki batarya doldurulacaktır. Fakat bilgisayara Anahtarlanmış UPS bağlanmışsa, elektriğin kesik olmadığı zamanlar bilgisayar anahtar üzerinden elektriği almaktadır. Fakat elektrik kesildiği an anahtar devreye girerek UPS içindeki bataryanın kullanılmasını sağlamaktadır. 3.9.9.

Ağ Kurulumunda İş Akışı

Ağ dizaynı için gerekli bütün bilgilerin toplanması ve bu bilgiler doğrultusunda oluşturulacak ağ yapısının hemen ardından kurulum için gerekli olan iş akışının da belirlenmesi gerekmektedir. Aksi takdirde kurulumun bitmesi uzayacak ve maliyetler de artacaktır. Ağ dizaynı yapılırken nasıl ki katman katman ilerlenmişse aynen kurulum aşamasında da 1.nci katmandan başlanmalıdır. İş akışı şu şekilde gerçekleştirilebilir. • • • • •

Data prizlerinin takılması Konnektörlerin ve kabloların hazırlanıp döşenmesi Kabloların patch panellere bağlanması Kabloların test edilmesi Kabloların, patch panel portların ve data prizlerin etiketlenmesi

57

• • • • • 3.9.10.

Bilgisayarlara NIC kartlarının takılması Hub’ların kurulması Anahtar ve Köprülerin kurulması Yönlendiricilerin kurulması ve konfigürasyonun yapılması Bilgisayarların ağ konfigürasyonlarının yapılması UTP Kablo Bağlantı Çeşitleri

Anahtar ve yönlendiricilerin yönetimi için Konsol (Console) portu ve Ethernet bağlantısı için Ethernet portları RJ45 konnektörle sonlandırılarak UTP kablo bağlantısı yapılabilir. 3 farklı UTP sonlandırması bulunmaktadır. Düz UTP Kablo (Straight-through): Anahtar-yönlendirici, anahtar-PC, anahtar-sunucu, hubPC ve hub-sunucu arasında Ethernet portlarda kullanılmaktadır. RJ-45 içindeki renkler karşılaştırıldığında renklerin aynı sırada ve çift olması gerekmektedir. Ethernet teknolojisinde UTP kablo içerisinde bulunan 4 çift kablodan sadece iki çifti kullanılmaktadır. Bunlar RJ45 konnektörde 1,2,3,6 nolu kablolardır. 1 ve 2 nolu kablo ile 3 ve 6 nolu kablo çift olmalıdır. Standart haline gelen kablo renkleri şu şekildedir. Turuncu Beyaz – Turuncu – Yeşil Beyaz – Mavi – Mavi Beyaz – Yeşil – Kahverengi Beyaz – Kahverengi Görüldüğü gibi 1 ve 2 nolu kablo rengi (Turuncu Beyaz – Turuncu) ile 2 ve 6 nolu kablo rengi (Yeşil Beyaz – Yeşil) çifttir.

Şekil 3.31 (Düz UTP Kablo) Çapraz UTP Kablo (Cross-over): Anahtar-anahtar, anahtar-hub, hub-hub, yönlendiriciyönlendirici, PC-PC arasında Ethernet portlarda kullanılmaktadır. Yukarıda bahsedilen düz UTP kablonun RJ-45 konnektördeki 1 ile 3 ve 2 ile 6 nolu kablo yer değiştirmelidir. Yani düz kablodaki renk sırası çapraz kabloda şu şekilde olmalıdır. Yeşil Beyaz – Yeşil – Turuncu Beyaz – Mavi – Mavi Beyaz – Turuncu – Kahverengi Beyaz Kahverengi

58

Şekil 3.32 (Çapraz UTP Kablo) Ters UTP Kablo (Roll-over): Yönlendirici-PC, yönetilebilir anahtar-PC ve yönlendirici-modem arasında konsol ve AUX portlarda kullanılmaktadır. RJ-45 içindeki uçlardan birinin renk sırası diğerinin tam tersi olması gerekmektedir.

Şekil 3.33 (Ters UTP Kablo) Şekil 3.34’de çapraz kabloyu kullanarak gerçekleştirilebilecek bağlantıları görebilirsiniz. Roll-over Kablo

PC

RJ-45

RJ-45

RJ45-DB9 Adaptör

Konsol Port

RJ-45

Com Port

Roll-over Kablo RJ-45

Modem

RJ45-DB25 Adaptör

Yardımcı Port

Şekil 3.34 (Ters UTP Kablo Bağlantı Çeşitleri)

59

ÜNİTE 4 – ÜST KATMANLAR 4.1.

AĞ KATMANI

Ağ katmanı, bir data paketinin ağ içerisinde veya ağlar arasındaki hareketinden sorumlu olan katmandır. Bu katmanda kullanılan adresleme sistemi hedef bilgisayarın ağ içerisindeki yerini tespit etmede kullanılır. Ayrıca data paketinin gönderilecek bilgisayara en kısa sürede ulaşması için yol seçimi de bu katmanda belirlenir. Ağ katmanının iki farklı fonksiyonu vardır. Bunlar; • •

Adresleme (Addressing) Yönlendirme (Routing)

Adresleme (Addressing): Ağ katmanında kullanılan adresleme sistemi hiyerarşik olmak zorundadır. Mevcut ağlardaki büyüme eğilimi ve yeni ağların kurulması adresleme sisteminin hiyerarşik olmasını gerektirmektedir. Her ne sebeple olursa olsun genişleyen ağlarda bazı problemler oluşmaktadır. Nasıl ki bir şehirde trafiğe çıkan araç sayısında artma olduğu zaman trafik akış hızının yavaşlaması ve trafik akış hızını artırmak için yeni yollar ve otobanlar yapmak gerekiyorsa data trafiğinde de aynı türden çözümlere ihtiyaç vardır. Yaşadığımız şehirde posta sisteminin verimli çalışabilmesi için mahalleler, caddeler, sokaklar ve binaları numaralandırma sistemi kurularak o şehirde adreslerin karışması önleniyorsa ve postalama yönetimi kolaylaştırılıyorsa aynen bilgisayar ağlarında da bu türlü çözümlere ihtiyaç vardır. Data trafiğinde de ağ performansının makul seviyede olması, adresleme sisteminin hiyerarşik yapıda olması arzulanan çözümlerdir. Hiyerarşik adresleme sistemi data paketini hedef bilgisayara en etkili ve kısa yolla ulaşımını sağlamaktadır. Ayrıca aynı şehirde belli bir bölgeyi tek bir mahalle adı altında toplamak gibi, hiyerarşik adresleme sistemi ile belli bir grup bilgisayarı tek bir adres altında toplamak mümkün olmaktadır. Ağ performansını makul seviyede tutmak için broadcast iletişimi geçirmeyen yönlendiriciler kullanılmaktadır. Böylelikle yönlendiriciye bağlı olan lokal ağ tek bir broadcast etki alanını oluşturmaktadır. A4

C4

A3

C3

B2

A2

A1

B1

C1

D1

C2

D2

B3

B4

D3

D4

Şekil 4.1 (Broadcast Etki Alanı) Şekil 4.1’de görüleceği gibi yönlendiriciye bağlı 4 adet A,B,C ve D ağı bulunmaktadır. Her bir ağ içindeki bilgisayarların kimlikleri de birer numara ile belirlenmiştir. Örneğin; A3 bilgisayarının ağ adresi (network address) A, fakat bilgisayar adresi (host address) 3’tür. Şekil 4.1’deki gibi bir ağ yapısı ancak ağlar arasında broadcast iletişimin birbirine geçmemesi

60

istendiği durumda yapılır. Aslında böyle yapılarda yönlendirici yönlendirme (routing) işlemi yerine bir çeşit 3.ncü katman anahtarlama (Layer 3 switching) yapmaktadır. Ağ katmanında mantıksal adresler kullanılmaktadır. Bir grup bilgisayar tek bir adres ile ifade edilebilmektedir. Mantıksal adreslerde bir grubu ifade eden kısım ile bilgisayarı ifade kısım ayrılmaktadır. Bir grubu tanımlayan kısıma TCP/IP iletişimde ağ veya subnet adresi (network, subnet address), IPX/SPX iletişimde ağ adresi (network address), AppleTalk iletişimde kablo alanı (cable range) denmektedir. Şekil 4.1’de görüldüğü gibi yönlendiriciye bağlı olan 4 segment farklı adres grubunu oluşturmaktadır. Yönlendiricinin birleştirdiği her bir mantıksal adres grubu için tek bir 2.nci katman teknolojisi (Ethernet, FDDI, Token-Ring gibi) kullanmalıdır. Yaygın olarak kullanılan bazı mantıksal adreslerin yapıları tablo 4.1’de görülmektedir. Protokol

Adres Büyüklüğü

Adres Grubu Büyüklüğü

Lokal Adres Büyüklüğü

IP (Class A)

32 bit

8 bit

24 bit

IP (Class B)

32 bit

16 bit

16 bit

IP (Class C)

32 bit

24 bit

8 bit

IPX

80 bit

32 bit

48 bit

AppleTalk

24 bit

16 bit

8 bit

Tablo 4.1 (Mantıksal Adresler) Ağ katmanında kullanılan mantıksal adresleme sistemi şu şartları sağlamalıdır. • Adres, en büyük ağları kapsayacak yapıda olmalıdır. (Örneğin;Internet) • Adres, tekrar edilemeyecek bir yapıda olmalıdır. • Adres, bir çok cihazı aynı grupta bulundurabilme özelliğinde olmalıdır. • Dinamik adresleme yapısı olmalıdır. (DHCP gibi) TCP/IP iletişimde 2 çeşit adresleme metodu vardır. Bunlar; • Sabit Adresleme (Static Addressing) • Dinamik Adresleme (Dynamic Addressing) Sabit Adresleme işlemi bilgisayara bulunduğu ağ segmenti içerisinde mantıksal bir kimlik kazandırmak için manuel olarak verilen adrestir. Bilgisayarların TCP/IP ayarları içerisinde manuel olarak konfigürasyonu yapılmaktadır. Bilgisayara verilen IP adresinin o ağ segmenti içinde tekrarlanmış olmamasına dikkat edilmelidir. Ağınızda yönlendirici varsa öngörülen ağ çıkış kapısının da (default gateway) IP adresi konfigüre edilmelidir. Dinamik Adresleme işlemi bilgisayara bulunduğu ağ segmenti içerisinde mantıksal bir kimlik kazandırmak için otomatik olarak verilen adrestir. Bu çeşit adreslemenin 3 farklı uygulaması vardır. Bunlar; Reverse Address Resolution Protocol-RARP: Sabit diski olmayan aptal terminaller (dummy terminal) tarafından IP adresi almak üzere kullanılan protokoldür. RARP istemci, aynı ağ segmentinde bulunan RARP sunucudan ARP paket formatını kullanarak broadcast yapar ve bir IP adresi ister. Segmentteki bütün bilgisayarlar bu paketi alırlar fakat cevap vermezler. Sadece RARP sunucu o segment içerisinde tekrar olmayacak bir IP adresini istemciye gönderir. MAC BAŞLIĞI

IP BAŞLIĞI

Hedef 08-00-02-89-90-A5 Kaynak 05-02-B2-85-21-3C

Hedef 1111111…. Kaynak ?????????????

61

RARP İstek mesajı Benim IP adresim Ne?

BOOTstrap Protocol-BOOTP: RARP protokolü gibi sunucu-istemci ortamında çalışan BOOTP protokolü UDP protokolünü kullanır. IP adresi isteyen bilgisayar broadcast ile bu isteğini ağa gönderir. Ağdaki BOOTP sunucu ise IP adresi, sunucunun kendi IP adresini, öngörülen ağ çıkış kapısının (default gateway) IP adresini broadcast ile ağa gönderir. İstemci bilgisayar da paketin hedef MAC adresine bakarak ve eğer kendi MAC adresi ise bu bilgileri alır. Bu protokol tam dinamik adresleme yapmaz. BOOTP sunucuda her bir bilgisayar için verilecek IP adreslerini içeren bir konfigürasyon dosyası oluşturulmalıdır. Dynamic Host Configuration Protocol-DHCP: BOOTP protokolünün daha gelişmiş hali olan DHCP protokolü tam dinamik bir yapıdadır ve sunucu-istemci ortamında çalışır. DHCP sunucuyu kullanarak IP adresi alacak bütün bilgisayarların otomatik olarak IP adresi alabilmesi için konfigürasyon yapılmalıdır. Ağdaki bir DHCP istemci çalıştırıldığında ortamdaki DHCP sunucudan direkt olarak IP adresi ister. Daha önceden DHCP sunucu üzerinde dağıtılacak IP adres aralıkları belirlendiğinden bu belirlenen adres aralığı içinden bir IP adresi ve subnet maskesi verilir. Yönlendirme (Routing): Ağ katmanının ikinci en önemli görevi olan yönlendirme işlemi iki bölümden oluşmaktadır. İlk bölümü gönderilecek data paketinin mevcut yol alternatiflerinden en iyisini seçmektir. Bu seçme işlemine yol belirleme (path determination) denir. Yol belirleme işleminde hangi yolun daha kısa olduğuna ait karar verme mekanizması, belirli bir algoritma kullanılarak gerçekleşmektedir. En kısa zamanda hedef bilgisayara data paketinin yönlendirilebilmesi için kullanılan protokollere yönlendirici protokoller (routing protocol) denir. Bu konu üzerinde daha sonra durulacaktır. Yönlendirme işleminin ikinci bölümü ise belirlenen en iyi yola yönlendirici (router) tarafından paketin gönderilmesidir. Bu işleme de yönlendirme (routing) denir.

Şekil 4.2 (Yönlendirme) Ağ katmanındaki bütün bu işlemleri yönlendirici (router) yapmaktadır. Yönlendiriciler kendi görevlerini yerine getirebilmek için hafızalarında yönlendirme tabloları (routing table) ve yönlendirici protokolleri (routing protocol) ile ilgili bilgiler bulundururlar. Yönlendiriciler birbirine bağladıkları her ağ segmenti için bir fiziksel arayüz bulundururlar. Şekil 4.3’de 3 tane arayüzü olan bir yönlendirici bulunmaktadır. Her bir arayüzü için de bir adres tanımlanmalıdır. Yönlendiricilerde bulunan yönlendirme tabloları bağladıkları ağ segmentlerin ağ adresleri ile arayüzlerin bulunduğu bir tablodur.

62

172.16.0.0 131.57.0.0

199.57.32.0

Şekil 4.3 (Yönlendirme) Yönlendiriciler, yapmaktadırlar.

yönlendirme

A

R1

işlemini

Şekil

Yönlendiriciler Bulutu

1.nci Adım

4.4’de

görüldüğü

R2

gibi

3

adımda

B

3.ncü Adım 2.nci Adım

Şekil 4.4 (Yönlendirme Adımları) Bu adımlar şöyledir; ¾ A bilgisayarı önce göndereceği data paketini oluşturur ve bu paketi en yakın yönlendiriciye gönderir. ¾ R1 yönlendiricisi A bilgisayarından aldığı data paketini hedef bilgisayara (B) en yakın olan yönlendiriciye (R2) gönderir. ¾ R2 yönlendiricisi R1 yönlendiricisinden aldığı data paketini hedef bilgisayara (B) gönderir. Ana hatlarıyla bahsedilen yönlendirme işlemi bu şekilde yapılmaktadır. Fakat bu kadar basit görünen işlemlerin arkasında bir çok detay gizlidir. Bu detayların hepsi daha sonra işlenecektir. Bu yönlendirme işlemini daha detaylı olarak bir örnekle inceleyelim. Şekil 4.5’deki gibi Geniş Ağ Bağlantımızın (WAN) olduğunu varsayalım. (Bu örnekte TCP/IP kullanılmaktadır) Şekil 4.5’te görüldüğü gibi PC 1, PC 2’ye data paketi göndermek istemektedir. PC 1, kendi IP adresi ile hedef bilgisayarın IP adresini karşılaştırır. Eğer hedef başka bir ağda ise en yakın yönlendirici olan R1’e paketi gönderir.(Çünkü PC1’de öngörülen ağ çıkış kapısı olarak R1 konfigüre edilmiştir) R1, bu paketi açar ve hedef bilgisayarın IP adresine bakar. Kendi yönlendirme tablosunu inceleyerek en kısa yolu bulur. Alırken paket üzerinde bulunan Ethernet Data-Link katmanı başlığını çıkartarak Frame Relay başlığı takar ve paketi R2’ye gönderir. R2 aldığı paketin gitmesi gereken adresin kendisine direkt bağlı olan ağ segmenti olduğunu anlayınca, bu segmentin bağlı olduğu arayüzden gönderir. Fakat bu ağ segmenti Token-Ring teknolojisi kullandığı için Token-Ring başlığı takarak paketi gönderir. Böylece PC1 ile PC2 arasındaki data alışverişi tamamlanmış olur.

63

Hedefe Frame Relay hat üzerinden ulaşılıyor

Hedef başka ağ segmetinde; en yakın yönlendiriciye gönder

PC 2’ye gönder

10.1.1.1

R2

R1

PC1 10.0.0.0

199.178.1.0 F/R Ethernet

PC2

TR

F/R

172.16.0.0

IP Paketi

IP Paketi

TR

IP Paketi

Şekil 4.5 (Paket Yönlendirmesi) Ağ Katmanı Başlık Formatı: Ağlar arasında data paketinin sağlıklı bir şekilde gönderilebilmesi için Transport Katmanından alınan segmente Şekil 4.6’daki başlık eklenmektedir. Versiyon: Kullanılan IP versiyonu (4 bit) IP Başlık Uzunluğu: Başlığın uzunluğu (4 bit) Servis Tipi: Üst katmanların belirlediği önemlilik seviyesi (8 bit) Toplam Uzunluk: Data ve başlık dahil toplam uzunluk (16 bit) Kimlik: Datagramı tanımlayan bir tamsayı (16 bit) Bayrak: Fragmentasyon Kontrol bilgisi (3 bit) Fragment Offset: Datagram parçalarını birleştirme bilgisi (16 bit) TTL: Paketin yaşam süresi (8 bit) Protokol: Üst-katman protokolünü tanımı (8 bit) Başlık Sağlaması: IP başlığının doğruluğu (16 bit) Kaynak ve Hedef Adresleri: Hedef ve Kaynak bilgisayar IP adresi (32+32 bit) IP Seçenekleri: Güvenlik gibi seçenekler (Değişken Uzunluk) Data: Maksimum 64 Kb Üst katman bilgisi Padding: IP başlığını 32 bit katlarına ulaştırmak için konulan sıfırlar 0

4

Versiyon

8 Başlık Uzunluğu

16 Servis tipi

Kimlik TTL

19

24

Toplam Uzunluk Bayrak

Protokol

Fragment Offset

Başlık Sağlaması

Kaynak IP Adresi Hedef IP Adresi IP Seçenekleri

Padding Data

.............

Şekil 4.6 (Ağ Katmanı Başlığı)

64

31

Yönlendirici Protokoller (Routing Protocol): Kullanılan mantıksal adrese (IP, IPX, AppleTalk) göre belli bir algoritma kullanarak datanın hedef bilgisayara en kısa yoldan ulaşmasını sağlayan protokollere yönlendirici (routing) protokoller denir. Bunlardan bazıları RIPv1, RIPv2, IGRP, EIGRP, OSPF, BGP gibi protokollerdir. 2 farklı yönlendirici protokolleri vardır. Bunlar; ¾ Uzaklık Vektör Yönlendirme Protokolleri (Distance Vector Routing Protocols) ¾

Link Durum Yönlendirme Protokolleri (Link State Routing Protocols)

Uzaklık Vektör Yönlendirme Protokolleri, yönlendirme işlemini gönderilecek data paketin üzerinden geçeceği yönlendirici sayısına göre yapmaktadır. En az sayıda yönlendiricinin üzerinden geçecek yol en iyi alternatif olarak değerlendirilir ve paket bu yol üzerinden gönderilir. Bunlar arasında RIP ve IGRP protokolleri bulunur. Link Durum Yönlendirme Protokollerinin yönlendirme işlemini yaparken kullandıkları kriter bir önceki protokollere göre daha farklıdır. Önceki protokollerin kullandığı kriter olan üzerinden geçeceği yönlendirici sayısına ek olarak bant aralığı, gecikme, güvenirlilik, güvenlik ve yüklülük gibi kriterlerle beraber karar mekanizması işlemektedir. Bu protokoller arasında EIGRP ve OSPF bulunmaktadır. Yönlendirilen Protokoller (Routed Protocol): Ağ katmanı protokollerinden olan ve daha önce bahsedilen yönlendirici protokoller tarafından yönlendirilebilen protokollerdir. Tablo 4.2’de yönlendirilen (routable) protokolleri göreceksiniz. PROTOKOL

Yönlendirilebilir mi?

IP

Evet

IPX

Evet

AppleTalk

Evet

NetBEUI

Hayır

DEC LAT (Local Area Transport)

Hayır

NetBios

Hayır

Subarea SNA

Evet (IBM VTAM ve NCP)

SNA (APPN) (Advanced Peer-to-Peer Networking)

Evet

Tablo 4.2 (Yönlendirilen Protokoller) 4.2.

TRANSPORT KATMANI

Transport Katmanı, datayı kaynak bilgisayardan hedef bilgisayara güvenli bir şekilde taşıyan ve data akışını düzenleyen katmandır. Transport katmanının 2 tane önemli fonksiyonu vardır. Bunlar; ¾ Güvenlilik (Reliability)

65

¾ Akış Kontrolü (Flow Control) Kısa bir süredir bir yabancı dil öğrenmekte olduğunuzu ve bu dilin ana dil olarak kullanıldığı ülkeye gittiğinizi düşünün. Nasıl ki sizin konuşulanları daha iyi anlayabilmeniz için konuştuğunuz kişileri “Yavaş konuşur musunuz?” (Akış Kontrolü) veya “Bir daha tekrar eder misiniz?” (Güvenlilik) şeklinde uyardığınız gibi bilgisayarlar arası iletişimin sağlıklı olabilmesi için bu tür uyarılar kullanılmalıdır. Güvenlilik (Reliability): İki bilgisayar arasında gerçekleştirilen data iletişiminde gönderilen datanın sağlıklı bir şekilde alınıp alınmadığını yöneten, alınmadığı takdirde tekrar gönderilmesini sağlayan bir fonksiyondur. Şekil 4.7’deki A bilgisayarı B bilgisayarına 3 data paketi göndermiş ve bu dataların alındığını onaylamak istemektedir. Gönderilen her bir data Transport Katmanı protokolü tarafından numaralandırılmaktadır. B bilgisayarı da gönderilen dataları aldığını ve bir sonraki data paketlerini beklediğini belirten bir onay mesajı gönderir. Bu mesaja gönderim onayı (forward acknowledgment) denir. B

A



1.nci Paket

2.nci Paket

3.ncü Paket 4.ncü Paketi Gönder

Şekil 4.7 (Transport Katmanı güvenlilik) Şekil 4.8’de görüldüğü gibi eğer A bilgisayarının gönderdiği data paketlerinden 2.nci paket B bilgisayarı tarafından alınmamışsa bu A bilgisayarına bildirilir. A bilgisayarı da ya sadece 2 nolu paketi ya da 2’den sonraki bütün paketleri tekrar gönderir. B

A



1.nci Paket 2.nci paket hariç diğerlerini aldım.

2.nci Paket

3.ncü Paket 2.nci Paketi Gönder 2.nci Paket

Şekil 4.8 (Transport Katmanı güvenlilik)

66

Akış Kontrolü (Flow Control): Bir çok sebepten dolayı bazı data paketleri yok edilmektedir. İletişim halindeki bilgisayarlardan gönderen bilgisayar, data paketlerini alan bilgisayarın alabileceği kapasiteden daha fazla olabilmektedir. Dolayısıyla datayı alan bilgisayar, data paketlerini yok edebilmektedir. Ayrıca gönderen bilgisayar, ağda bulunan anahtar ve yönlendirici gibi ağ cihazlarının kapasitesini zorlayabilmektedir. Aynı şekilde bu cihazlar da data paketlerini yok edeceklerdir. Bazen datayı alan bilgisayarın ara belleği (buffer) yeteri kadar büyük olmayabilir veya işlemcisi çok miktarda datayı işliyor olabilir. Bütün bu sebeplerden dolayı tıkanma (congestion) olmaktadır. Bu tıkanıklığı giderebilmek için data gönderim miktarını kontrol etmek üzere akış kontrol sistemi kullanılmaktadır. Bu sistemde 3 metod kullanılmaktadır. Bunlar; ¾ Ara Bellekleme (Buffering) ¾ Tıkanıklıktan Kaçınma (Congestion Avoidance) ¾ Pencereleme (Windowing) Ara Bellekleme (Buffering): Data akış hızına müdahale etmeden alınan data, bilgisayarın kapasitesini aştığı durumlarda bilgisayarın ara bellğinde yer açma işlemidir. Böylece belli bir süre ara bellekte tutulan data, bilgisayarın yükü azaldığı zaman hemen işleme sokulmaktadır. Tıkanıklıktan Kaçınma (Congestion Avoidance): Data paketlerini alan bilgisayarın ara belleği dolduğu durumlarda data paketlerini gönderen bilgisayara ya gönderme işlemini durdur ya da yavaşlat şeklinde mesajlar göndermektedir. Böylece alınmış olan data paketlerini işlemek üzere belli bir süre kazanmaktadır. TCP/IP iletişimde ICMP mesajları içerisinde “Source Quench” adlı mesaj data paketlerini gönderen bilgisayara hızını yavaşlatmasını ifade etmektedir. B

A

AĞ Alıcı

1 2 3 DUR .... .... ....

DEVAM ET

4 5 Şekil 4.9 (Akış Kontrolü) Pencereleme (Windowing): Data iletişimi sırasında gönderilen datanın güvenli bir şekilde gidip gitmediğinin öğrenilmesi ve oluşacak data kayıplarının telafi edilmesi çok önemlidir. Bu takibin daha etkili bir şekilde yapılması için gönderen bilgisayarın onay almadan gönderebileceği maksimum miktarda data paketi belirlenir. Bu işleme pencereleme (windowing) denir. Şekil 4.10’da görüldüğü gibi pencere sayısı 3 olan bir iletişimde ilk üç data paketi gönderilir ve sonrasında bu paketlerin güvenli bir şekilde gidip gitmediğine dair onay beklenir. Eğer bozulmuş

67

paket varsa bu paket tekrar gönderilir ve tekrar başka bir 3 data paketi gönderilir. Bu şekilde sistem çalışmaya devam eder. B

A

AĞ Alıcı

Gönderen Windows=3

1 2 3 Ack=4 4 5 6 Ack=7

Şekil 4.10 (Pencereleme) Transport Katmanı Protokol Çeşitleri: Transport Katmanında 2 farklı protokol vardır.Bunlar; ¾

¾

Bağlantı Odaklı Protokoller (Connection Oriented Protocols): İletişim kuracak olan iki uç arasında bağlantı kurulmadan önce mesaj alışverişi gerektiren protokollerdir. Bağlantısız Protokoler (Connectionless Protocols): İletişim kuracak olan iki uç arasında bağlantı kurulmadan önce mesaj alışverişi gerektirmeyen protokollerdir.

PROTOKOL

GÜVENLİLİK

ÖRNEKLER

Connection-Oriented

Güvenli

LLC Tip2 (802.2), TCP (TCP/IP), SPX (Netware), X.25

Connection-Oriented

Güvensiz

Frame Relay VC, ATM VC, PPP

Connectionless

Güvenli

TFTP, Netware NCP

Connectionless

Güvensiz

UDP, IP, IPX, AppleTalk DDP, 802.3, 802.5 ve birçok 3.ncü Katman protokolleri

Tablo 4.3 (Transport Katmanı Protokol Çeşitleri) Aynı anda ağ üzerinde kullanılan uygulamaların takibinin yapılabilmesi için Transport Katmanında port numaraları kullanılmaktadır. Uygulama geliştiriciler, RFC 1700 standardında belirlenen port numaralarını kullanmaktadırlar. 255’e kadar olan port numaraları herkesin kullandığı uygulamalar için ayrılmıştır. 255-1023 arası port numaraları ise piyasada yaygın olarak kullanılan uygulamalara ayrılmıştır. 1024’den sonrası için herhangi bir düzenleme yapılmamıştır. Daha detaylı bilgi için RFC 1700 standardını inceleyebilirsiniz. Tablo 4.4’de bazı port numaralarını görebilirsiniz.

68

Uygulama Katmanı Port No Transport Katmanı

FTP

TELNET

DNS

SMTP

SNMP

TFTP

21

23

53

25

161

69

TCP

UDP

Tablo 4.4 (Port Numaraları) 4.3.

OTURUM KATMANI

Oturum Katmanı, transport katmanında port numarası ile belirlenen uygulama başladıktan sonra bu uygulamadaki oturumun (session) kurulması, yönetilmesi ve sonlandırılması görevini yerine getiren katmandır. Konuşan iki insanı düşünelim. Konuşmaya başlamadan önce kişiler konuşmak istediklerini vücut diliyle, mimikleriyle anlatırlar ve konuşmaya başlarlar. Konuşma esnasında da iyi bir iletişim kurulmak isteniyorsa iki kişiden biri konuşur, diğeri dinler ve konuşma sırayla devam eder. Televizyonlardaki tartışma programlarını düşündüğünüzde tartışmayı yöneten yönetici her konuşmayıcıya belli süre verir. Herkes hep bir ağızdan konuşursa o tartışmada mutlaka anlaşmazlık çıkar. Bütün bu anlatılanlara benzer bir şekilde oturum yönetimi de bilgisayarlar arasında da gerçekleşmektedir. İki bilgisayar arasında birçok küçük oturumlar açılmaktadır. Her bir oturumda aynen sunucu-istemci ağlarda olduğu gibi servis alan ve servis veren vardır. Her bir oturum için servis alan ve servis veren bilgisayarın belirlenmesi diyalog kontrol (dialog control) sistemi tarafından yapılmaktadır. Oturum katmanı, oluşabilecek iki türlü probleme çözüm üretmektedir. •

İki bilgisayarın aynı oturum içinde birbirlerinin iletişimini bölmesidir. Aynen konuşan iki kişiden birinin diğerinin sözünü kesmesi gibi. Bu problem iki farklı yolla çözümlenir. Oturum sırasında iki bilgisayar sırayla belli bir süre için data gönderirler. Buna çift yönlü değişken oturum two-way alternating (TWA) conversation denmektedir. Diğer çözüm ise herhangi bir yönetime gereksinim duymadan iki bilgisayarın da konuşmasıdır. Buna çift yönlü eşzamanlı oturum two-way simultaneous (TWS) conversation denmektedir. Bu tür oturumlarda 2.katman çarpışmalarına benzer çarpışmalar (collision) olmaktadır. Eğer bu tür çarpışmalar ciddi miktarlara ulaşırsa diyalog kontrol sistemi tarafından TWA oturuma dönüştürülür.



Birbirlerinin konuşmasını bölen iki bilgisayarın oturum sırasında gönderdikleri datanın kayıt edilip neler konuşulduğunu bilmelerinin gerekliliğidir. Aksi takdirde iki bilgisayar anlaşamayacaktır. Birbirlerini dinlemeyen ama hep konuşan iki kişiyi düşünün. Belki de anlaşmaya çalıştıkları şeyi birbirlerine aynı şekliyle ifade etmekte fakat dinlemedikleri için anlaşamamaktadırlar. Bu problem gözden geçirme noktası (checkpoint) denen belli bir zamanlama ile konuşulan sözlerin incelenmesi ile çözümlenir. En önemli checkpoint, oturumu açma ve kapama zamanlarıdır.

Oturum Katmanının en önemli protokolleri şunlardır; • • • • • •

Network File System (NFS) Structured Query Language (SQL) Remote Procedure Call (RPC) X-Windows System AppleTalk Session Protocol (ASP) Digital Network Architecture Session Control Protocol (DNA SCP)

69

4.4.

SUNUM KATMANI

Konuşan iki insanın birbirlerini anlaması için nasıl ki aynı dili konuşması gerekiyorsa bilgisayarların da anlaşabilmesi için ortak bir dile ihtiyaçları vardır. Bu ortak dil bu katmanda oluşturulur. Bu katmanın 3 fonksiyonu vardır. Bunlar; • • •

Data Formatlama (Data Formatting) Data Şifreleme (Data Encryption) Data Sıkıştırma (Data Compression)

Farklı uygulamaların farklı yazılım ve donanım platformlarında anlaşılabilmesi için datanın bu katman tarafından ortak bir formata dönüştürülmesi gerekmektedir. Grafik ve görsel imajlar TIFF, GIF, PICT ve JPEG gibi, yazı ve data ASCII ve EBCDC gibi, ses ve video ise MIDI, MPEG, QUICKTIME ve AVI gibi formatlara dönüştürülmektedir. Ayrıca bütün bu yapılar istendiğinde şifrelenmektedir. Tablo 4.5’de ASCII karakterlerini inceleyebilirsiniz. 0 5

6

7

1

0

1

1

0

0

1

0

0

1

1

1

1

0

0

1

1

1

1

0

0

0

0

1

2

3

4

0

0

0

0

@

P

`

p

0

sp

NUL

DLE

1

0

0

0

A

Q

a

q

1

!

SOH

DC1

0

1

0

0

B

R

b

r

2

*

STX

DC2

S

c

s

3

#

ETX

DC3

1

1

0

0

C

0

0

1

0

D

T

d

t

4

$

EOT

DC4

1

0

1

0

E

U

e

u

5

%

ENQ

NAK

0

1

1

0

F

V

f

v

6

&

ACK

SYN

W

g

w

7

BEL

ETB

1

1

1

0

G

0

0

0

1

H

X

h

x

8

(

BS

CAN

1

0

0

1

I

Y

i

y

9

)

HT

EM

0

1

0

1

J

Z

j

z

:

*

LF

SUB

[

k

{

;

+

VT

ESC

\

l

|

<

,

FF

FS

1

1

0

1

K

0

0

1

1

L

1

0

1

1

M

]

m

}

=

-

CR

GS

^

n

`

>

.

SO

RS

_

o

?

?

/

SI

US

0

1

1

1

N

1

1

1

1

O

Tablo 4.5 (ASCII Karakterleri) Ayrıca bu katman, data sıkıştırmasını yapan protokoller de içermektedir. Gönderilecek data içerisinde tekrar eden karakterler ortak bir yapı ile temsil edilirler. Böylece data daha az yer kaplamaktadır. Şekil 4.11’de bunu açıkça göreceksiniz.

70

Şekil 4.11 (Data Sıkıştırması) 4.5.

UYGULAMA KATMANI

Kullanıcıya en yakın olan Uygulama Katmanı, bir uygulamanın iletişimle ilgili olan parçasını destekler. Bu katmanın fonksiyonları arasında şunlar bulunmaktadır; • • • •

İletişim kurmak isteyen bilgisayarların kaynakları açısından mevcut durumlarının uygun olup olmadığının belirlenmesi ve uygulamalar arası iletişimin kurulması Beraber çalışan uygulamaların senkronize olması Hata giderimi için gerekli prosedüre karar verilmesi Data bütünlüğünü yönetmesi

Ağ ortamında çalışan uygulamaların bir çoğu sunucu-istemci uygulamalar olarak bilinmektedir. FTP, web göz atıcıları ve elektronik posta gibi uygulamalar iki parçadan oluşmaktadır. Bunlar sunucu ve istemci parçalarıdır. Bu tür uygulamaların çalıştığı bilgisayarlardan istemci tarafı lokal bilgisayarda çalışır ve sunucudan servis istemektedir. Sunucu tarafı ise uzak bilgisayarda çalışır ve istemcinin istediği servisleri sağlamaktadır. Eğer kullandığınız uygulama web göz atıcısı ise bilgisayarınızdaki web göz atıcı uygulamasındaki URL kısmına http://www.cisco.com yazdığınız zaman bu uygulama öncelikle bu adresin hangi bilgisayarda host edildiğini belirler. Sonrasında ise istediğiniz sayfanın görüntülerini sizin bilgisayarınıza getirir. Lokal ağ içerisinde kullanılan ve ağ desteği olmayan uygulamalar için ağ desteği yeniden yönlendirici (redirector) tarafından verilmektedir. Redirector, kullanılan bu tür uygulamaları ağ istemcisi olarak tanımlar ve ağ desteği olan diğer uygulamalar gibi çalışır hale dönüştürür. Redirector, bilgisayarın işletim sistemi ve ağ istemcisi olarak tanımlanan uygulamalarla çalışan bir protokoldür. Bu protokollerden bazıları şunlardır; ¾ ¾ ¾ ¾

Apple File Protokolü NetBIOS Extended User Interface (NetBEUI) Novell IPX/SPX Protokolü TCP/IP Protokolündeki Network File System (NFS)

Herhangi bir yazı editöründe yazdığınız bir dosyayı ağ ortamında bulunan başka bir bilgisayara kaydetmek veya bu dosyayı ağda paylaşıma açılmış bir yazıcıda yazdırmak istiyorsanız bu isteğiniz redirector protokolü tarafından kaydetmek istediğiniz dosya sunucusuna veya yazıcıya yönlendirilir. Redirector protokolü, ağ yöneticilerine lokal bilgisayarda uzakta

71

bulunan kaynaklara mantıksal isim verme imkanı vermektedir. Kullandığınız ağ desteği olmayan uygulamalar aslında lokalde işlem yapıyormuş gibi görünür ve ağ ile olan iletişimi redirector protokolü sağlamaktadır. Bu protokoller ağ desteği olmayan uygulamaların kabiliyetlerini artırmaktadır.

72

ÜNİTE 5 – CISCO IOS Bir çok Cisco yönlendiricilerde ve yönlendirme kartları bulunan diğer bazı cihazlarda işletim sistemi kullanılmaktadır. Cisco IOS (Interwork Operating System), Cisco’nun resmi kayıtlı işletim sisteminin ticari markasıdır. 5.1. YÖNLENDİRİCİ PARÇALARI Cisco yönlendiricilerin bazı parçalarına burada değinmek daha sonra anlatılacak konuların anlaşılması açısından önemlidir. Yönlendiricilerde çalıştırılan işletim sistemi IOS, sadece yönlendirme işlemini yapmamaktadır. Aynı zamanda yönlendiricide mevcut olan hafıza, işlemci ve ara yüzler gibi bazı donanım parçalarını da yönetmektedir. Cisco yönlendiriciler de AUX (auxiliary) port ve konsol (console) port olmak üzere iki tane port bulunmaktadır. Bu iki porta yapılabilecek bağlantı metotları daha önce bahsedilmişti. Konsol portu yönlendiricinin lokalde yönetilmesi yani IOS’da ve konfigürasyonlarda gereken değişikliklerin yapılabilmesi için kullanılmaktadır. AUX portu ise modem aracılığıyla uzaktan yönlendiriciye ulaşmak için veya WAN bağlantısının yedeği olarak kullanılmaktadır. Bütün Cisco yönlendiricilerde 4 çeşit hafıza vardır. Bunlar; ¾

RAM-Bazen DRAM (Dinamik RAM) olarak da anılan bu hafıza, çalıştırılan yönlendiricideki mevcut konfigürasyonun (running configuration) tutulduğu hafızadır.

¾

ROM-Yönlendiricinin başlatılabilmesi için gerekli olan en temel ayarların bulunduğu küçük IOS imajını içermektedir. Tam versiyon IOS’un bulunamadığı durumlarda buradaki IOS imajı kullanılmaktadır.

¾

FLASH-Cisco IOS’un tam versiyonunun tutulduğu ve başlatıldığında öngörüldüğü şekliyle IOS’u araştırdığı hafızadır.

¾

NVRAM (Non-Volatile RAM)-Yönlendiricinin her türlü konfigürasyonun kaydedildiği ve yönlendirici başlatıldığında öngörüldüğü şekliyle konfigürasyon dosyasını araştırdığı hafızadır. Bu hafızada bulunan konfigürasyona başlangıç konfigürasyonu (startup-configuration) denmektedir.

RAM haricindeki diğer hafıza çeşitlerinde bulunan bilgiler kalıcıdır Yönlendiricinin elektrik bağlantısı kesildiğinde RAM’deki kayıtlar kaybolmaktadır.

yönlendiricinin

(permanent).

5.2. IOS KOMUT SATIRI (COMMAND LINE INTERFACE-CLI) Cisco yönlendiricilerdeki işletim sisteminde (IOS) oluşturulacak bütün konfigürasyonlar komut satırında yapılmaktadır. Bu komut satırı Command Line Interface olarak adlandırılmıştır. Bu kitapta CLI olarak kullanılacaktır. UNIX ve DOS işletim sistemi kullanıcılarının yakından tanıdığı komut satırıyla aynı şekildedir. Cisco IOS’unda 2 farklı giriş modu vardır. Bunlar; ¾ ¾

Kullanıcı Modu (User Exec Mode) İmtiyaz Modu (Privileged Exec Mode veya Enable Mode)

Kullanıcı Modu, yönlendiricide yapılan ayarların görüntülenebileceği moddur. Herhangi bir

73

konfigürasyon yapılamaz. İmtiyaz Modunda ise her türlü değişiklik yapılabilir ve görüntülenebilir. Herhangi bir şekilde yönlendiriciye bağlandığınız zaman öngörüldüğü şekliyle kullanıcı moduna girmiş olacaksınız. CLI’da enable komutu ile imtiyaz moduna girebilirsiniz. Tabii ki bu komut yazıldığında eğer yönlendirici konfigüre edilmişse kullanıcıya şifre soracaktır. Tekrar kullanıcı moduna dönmek istediğiniz zaman disable komutunu kullanabilirsiniz.

Şekil 5.1 (IOS Komut Satırı Modları) Kullanıcı modunda iken CLI’de yönlendiricinin adını göreceksiniz. Örneğin; Istanbul> . “>” işaretine dikkat edin. Bu işaret sadece kullanıcı modunda görünecektir. İmtiyaz moduna geçtiğinizde CLI’de Istanbul# göreceksiniz. “#” işareti de sadece imtiyaz modunda görünecektir. Kullanıcı modundan imtiyaz moduna geçerken size şifre sorulacaktır. Bu şifreyi arzu ederseniz enable password (şifre) global konfigürasyon komutu ile değiştirebilirsiniz. Ayrıca enable secret (şifre) komutu ile de yeni bir şifre koyup bu şifrenin enkripte edilmesini sağlayabilirsiniz. Fakat bu iki komut da beraber konfigüre edilmişse imtiyaz moduna geçerken sadece secret komutuyla yazılı olan şifre geçerli olacaktır. Diğer şifre sorulmayacaktır. Eğer secret komutuyla yazılı olan şifre kaldırılırsa diğer şifre devreye girecektir. Yani ikisi aynı anda aktif olmayacaktır. Baskın olan enable secret komutuyla yazılan şifredir. Yönlendiriciye 3 farklı şekilde bağlanabilirsiniz. Konsol portu ile lokalde bulunan yönlendiriciye bağlanabilir ve konfigürasyonunu yapabilirsiniz. WAN’de olan bir yönlendiriciye bağlanmak istiyorsanız AUX portunu kullanabilirsiniz. Bu iki bağlantı şeklini ters UTP kablo (rollover) kullanarak yapabilirsiniz. IP ağı içerisinde olan herhangi bir bilgisayardan da yönlendiriciyle telnet bağlantı kurabilirsiniz. Şekil 5.2’de bu bağlantı çeşitlerini görebilirsiniz. Bu bağlantı çeşitlerinin her birisi için şifre konfigüre edilmesi gerekmektedir. İmtiyaz modunda iken global konfigürasyon moduna geçip aşağıdaki komutları yazarak konsol, AUX ve Telnet bağlantıları için şifre konfigüre edebilirsiniz. İmtiyaz modundan configure terminal yazarak global konfigürasyon moduna geçilebilir. Konsol bağlantısı için line console 0 login password istanbul AUX bağlantısı için line aux 0 login password ankara Telnet bağlantısı için line vty 0 4

74

login password izmir komutlarıyla şifreleri konfigüre edebilirsiniz. Bir yönlendiriciye aynı anda 5 farklı telnet bağlantısı yapılabilmektedir. Telnet bağlantısı için kullanılan line vty 0 4 komutuyla bütün telnet bağlantıları için aynı şifre verilmiştir. Komuttaki sayılar 0, 1, 2, 3, 4 telnet bağlantılarını ifade etmektedir. Yönlendirici A B

Konsol

AUX Ara Yüzler

IP AĞI

C Şekil 5.2 (Yönlendirici Bağlantı Çeşitleri) Cisco yönlendiricilerde ayarlar farklı konfigürasyon modlarında yapılmaktadır. Bunların sayısı oldukça fazladır. Bütün bunları detaylı bir şekilde incelemek bu kitapta verilmek istenen içeriği aşmaktadır. Bu konfigürasyon modları şunlardır; • Global Configuration Mod • Interface Configuration Mod • Subinterface Configuration Mod • ROM Monitor Mod • Access-List Configuration Mod • APPN Command Mod • CAS-Custom Configuration Mod • Certificate Authorities Configuration Mod • Certificate Chain Configuration Mod • Controller Configuration Mod • Crypto Map Configuration Mod • Crypto Transform Configuration Mod • Dial-Peer Configuration Mod • Hex Input Mod • Hub Configuration Mod • IBM Channel Attach Command Mod — Interface Channel Configuration Mod — Internal LAN Configuration Mod — Internal Adapter Configuration Mod • Interface-ATM-VC Configuration Mod • IPX-Router Configuration Mod • ISAKMP Policy Configuration Mod

75

• Key Chain Configuration Mod — Key Chain Key Configuration Mod • LANE Database Configuration Mod • Line Configuration Mod • Map-Class Configuration Mod • Map-List Configuration Mod • Modem Pool Configuration Mod • MPC Configuration Mod • MPS Configuration Mod • Poll-Group Configuration Mod • Public Key Configuration Mod — Public Key Chain Configuration Mod • Response Time Reporter Configuration Mod • Route-Map Configuration Mod • Router Configuration Mod • TN3270 Server Command Mod • VC-Class Configuration Mod • Voice-Port Configuration Mod CLI’daki Yardım Komutları Cisco CLI’da çok sayıda komut olduğundan dolayı bu komutların herbirisini bütün parametreleri ile birlikte bilmek gerçekten çok zordur. Bundan dolayı CLI’da komutları ve parametrelerini hatırlatıcı bir sistem vardır. Bu yardım komutlarını Tablo 5.1’de göreceksiniz. KOMUT

YARDIMIN TANIMI

?

Bulunduğunuz moddaki bütün komutları listeler.

help

Nasıl yardım alacağınıza dair bilgi ekranda görünür.

command ?

Yazdığınız komutun bütün parametrelerini listeler.

com?

“com“ ile başlayan komutları listeler.

command par?

“command“ komutunun “par“ ile başlayan parametrelerinin bütün alternatiflerini listeler.

command par

“command“ komutunun “par“ ile başlayan parametresi tek ise bu komut tuşu ile tamamlanır. Eğer tuşuna basıldığında herhangi bir değişiklik olmazsa “par“ ile başlayan bir parametre yok veya tek değil demektir.

command parameter ?

“command“ komutu ve “parameter“ parametresinin bütün alt parametreleri listelenir.

Tablo 5.1 (CLI’daki Yardım Komutları) Tablo 5.1’deki komutları hangi modda yazdığınız önemlidir. Eğer ? işareti kullanıcı modunda yazılmışsa imtiyaz modundaki komutları göremezsiniz. Yine konfigürasyon modunda ? işareti yazmışsanız bu modda bulunan komutları görebileceksiniz. CLI’da yanlış komut yazıldığında bazı hata mesajları görülecektir. Aşağıdaki örnekte bazı hata mesajları ile de karşılaşacaksınız. Tablo 5.2’de bu hata mesajlarını inceleyebilirsiniz. HATA MESAJI

MESAJIN ANLAMI

76

NASIL YARDIM ALINABİLİR ?

Komutu tekrar yazıp hiç boşluk bırakmadan komuttan sonra ? işareti ile yardım alabilirsiniz. Muhtemel bütün komutları listeleyeceksiniz.

% Ambiguous command

Cihazın komutu tanıması için yeterli karakter yazmadığınızı gösterir.

% Incomplete command

Yazmış olduğunuz komutla alakalı gerekli parametreleri ve değerleri girmediğinizi gösterir.

Komutu tekrar yazıp boşluk bırakarak komuttan sonra ? işareti ile yardım alabilirsiniz.

% Invalid input detected at ‘^’ marker

‘^’ işaretinin bulunduğu yerde komutu yanlış girdiğinizi gösterir.

‘^’ işaretinin bulunduğu yerden sonraki kısmı yazmadan komutu tekrar yazıp boşluk bırakarak ? ile yardım alabilirsiniz.

Tablo 5.2 (CLI’daki Hata Mesajları) Tablo 5.2’de anlatılan içerik-hassaslı yardım mekanizmasını bir örnekle inceleyelim. Istanbul# clok Translating “CLOK” % Unknown command or computer name, or unable to find computer address Istanbul# cl? clear clock Istanbul# clock % Incomplete command Istanbul# clock ? set Set the time and date Istanbul# clock set % Incomplete command Istanbul# clock set ? hh:mm:ss Current Time Istanbul# clock set 17:58:00 % Incomplete command Istanbul# clock set 17:58:00 ? Day of the month MONTH Month of the year Istanbul# clock set 17:58:00 04 8 ^ % Invalid input detected at the “^” marker Istanbul# clock set 17:58:00 04 August % Incomplete command

77

Istanbul# clock set 17:58:00 04 August ? Year CLI’da yazılan son 10 komut yönlendiricinin ara belleğinde tutulur. Konsol, AUX veya telnet bağlantı kurmuşsanız yazdığınız son 10 komutu tablo 5.3’da belirtilen komutlarla kısayoldan ulaşabilirsiniz. Ara bellekte tutulan komut sayısını da terminal history size (satır sayısı) veya history size (satır sayısı) komutları ile 256’ya kadar çıkartabilirsiniz. CLI’da yazdığınız son komutların hepsini birden show history komutu ile listeleyebilirsiniz. Terminal kullanıcılarının yönlendiriciye bağlandığında karşılarına yönlendirici ile alakalı bir yazıyı banner motd # (Açıklama yazısı) # komutu ile çıkartabilirsiniz. Bu komutta açıklama yazısını yazdıktan sonra ‘#’ işareti mutlaka konulmalıdır. Yönlendiricinin hangi arayüzünün hangi hatta bağlı olduğunu ezbere bilmek pratik değildir. Dolayısıyla kullanılan arayüzleri Cisco IOS’da da tanımlamak gerekmektedir. interface (type)(number) veya interface (type)(slot/number) komutuyla arayüz moduna geçilir. (type alanında serial, ethernet, token ring, fddi, hssi, loopback, dialer, null, asysnc, atm, bri ve tunnel olabilir) (Örneğin ; interface e0 veya interface s2 gibi) Arayüz modunda iken description komutu ile arayüzün hangi hatta bağlı olduğu bilgisi tanımlanır. KLAVYE KOMUTU

KOMUTUN TANIMI

Yukarı Tuşu veya CTRL+p

En son yazılan komuta gider.Hafızadaki komut bitene kadar basılabilir. Her basıldığında bir önceki komuta gider. Hafızada tutulan ilk komuta gelindiğinde başka komut gösteremez.

Aşağı Tuşu veya CTRL+n

Eğer yukarıdaki komut kullanılmış ve hafızada bulunan önceki komutlara gidilmişse bu komut hafızadaki bir sonraki komutlara gider.Hafızada kullanılan en son komuta gelindiğinde bu komut başka komut gösteremez.

Sol Tuşu veya CTRL+b

Bu komut, imgeci bulunduğu karakterden bir önceki karaktere götürür. Herhangi bir karakter silmez. Bulunduğu satırın ilk karakterine kadar imgeci götürebilirsiniz.

Sağ Tuşu veya CTRL+f

Bu komut imgeci bulunduğu karakterden bir sonraki karaktere götürür. Herhangi bir karakter silmez. Bulunduğu satırın son karakterine kadar imgeci götürebilirsiniz.

Backspace

Klavyedeki Backspace tuşuna basarak imgeci bir önceki karaktere silerek götürebilirsiniz.

CTRL+a

Bu komut bulunduğunuz satırda imgeci en başa götürür.

CRTL+e

Bu komut bulunduğunuz satırda imgeci en sona götürür.

ESC+b

Bu komut imgeci bir önceki kelimeye götürür.

ESC+f

Bu komut imgeci bir sonraki kelimeye götürür.

78

Bu komut en son yazılan komutu kopyalayarak yeni bir satır oluşturur. Bu komut genelde sistem mesajlarının ekranı anlaşılmaz hale getirdiğinde kullanılır.

CTRL+r

Tablo 5.3 (CLI’daki Kısa Yol Tuşları) Yukarıda anlatılanlar Enhanced Editing modunun özellikleridir. Yönlendirici öngörüldüğü şekliyle bu modu kullanır. Fakat herhangi bir sebepten dolayı bu modu kapatmak istediğinizde terminal no editing komutunu kullanabilirsiniz. terminal editing komutu ile de tekrar bu modu aktif hale getirebilirsiniz. 5.3. SYSLOG MESAJLARI Yönlendiricide gerçekleşen olaylar, Cisco IOS tarafından mesajlar üretilerek konsoldan bağlı olan bilgisayara gönderilir. Bu mesajlara syslog mesajları denir. Konsoldan bağlı olan bilgisayar öngörüldüğü şekliyle bu mesajları almaktadır. Eğer yönlendiriciye telnet ile bağlanmışsanız terminal monitor komutu ile telnet bağlantısından syslog mesajlarını takip edebilirsiniz. Yönlendirici de bu terminale bu mesajları gönderir. Telnet kullanıcıları öngörüldüğü şekliyle bu mesajları almazlar. Eğer bu mesajları istediğiniz zaman görmek istiyorsanız, önce mesajları yönlendiricinin RAM’inde logging buffered global konfigürasyon komutu ile tutarsınız. Bu mesajları görmek istediğiniz zaman da show logging komutu ile görüntülersiniz. logging synchronous komutu ile görüntülenecek syslog mesajlarının CLI’da yazılan veya yazılmakta olan komutun işleminin bitmesinden sonra görüntülenmesini sağlar. Böylece konsol kullanıcısı veya telnet kullanıcısı başka işlem yaparken syslog mesajı gelerek işlemi bölmez. Syslog mesajlarını başka bir cihaza göndermek de mümkündür. logging (host adı veya IP adresi) komutu ile bu mesajları host adını veya IP adresini yazdığınız bilgisayara syslog mesajlarını gönderebilirsiniz. 5.4. YÖNLENDİRİCİ KONFİGÜRASYONU Yönlendiricide imtiyaz modunda iken her türlü konfigürasyonu yapabilirsiniz. Yapmak istediğiniz konfigürasyonun çeşidine göre yönlendiricide uygun moda geçmelisiniz. İmtiyaz modunda iken configure terminal komutu ile global konfigürasyon moduna geçersiniz. Bu moddan çıkmak için exit veya CTRL+Z komutunu girmeniz gerekmektedir. Kullanıcı Modu Ör: Istanbul>

enable

İmtiyaz Modu Ör: Istanbul# Ctrl-Z veya exit

RAM (Aktif Konfig.)

Uygulanan her komut kaydedilir

config t

Konfigürasyon Modu Ör: Istanbul(config)#

Şekil 5.3 (Yönlendirici Konfigürasyonu) Global konfigürasyon modunda uyguladığınız her komut RAM’deki aktif konfigürasyonda (running configuration) gerekli değişiklikleri yapar. Bu modda da daha önce bahsedilen CLI’daki

79

komut yazma yardımları bahsedildiği şekliyle alınabilir. Global konfigürasyon modundan interface (type)(number) veya interface (type)(slot/number) komutuyla arayüz moduna, line console0 komutuyla konsol moduna, router (routing protocol) komutuyla yönlendiricinin router moduna geçebilirsiniz. Bütün bu komutlar global konfigürasyon modunda iken yazılır. Ayrıca yine global konfigürasyon modunda iken hostname (yönlendirici adı) komutu ile yönlendiricinin adı değiştirilebilir. prompt (yönlendirici adı) komutuyla CLI’da gösterilecek yönlendiricinin adı değiştirilmektedir. Fakat yine yönlendiricinin gerçek adı hostname komutuyla yazılan isimdir. Aşağıda örnek olarak yapılan bir yönlendiricinin konfigürasyonunu göreceksiniz. Yönlendiricideki bir arayüzü herhangi bir sebepten dolayı kapatmak istiyorsanız shutdown komutunu arayüz modunda kullanabilirsiniz. Kapattığınız bir arayüzü de no shotdown komutuyla tekrar açabilirsiniz. Cisco yönlendiricileri ilk satın alındığında bütün portları kapatılmıştır, açılması gerekir. Router#configure term Router(config)#interface serial 0 Router(config-if)#shutdown %LINK-5-CHANGED: Interface Serial0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line Protocol on Interface Serial0, changed state to down Yönlendiricide show interfaces veya show interface serial1 komutlarıyla o arayüzle ilgili bilgileri görüntüleyebilirsiniz. Görüntülenen bilgiler içerisinde aşağıdaki açıklamalardan birini göreceksiniz. Eğer ilk durumu görürseniz o arayüz problemsiz bir şekilde çalışıyor demektir. İkinci durumu görüntülerseniz WAN bağlantıda bir problem oluşmuş demektir. Bu problem WAN’da kullandığınız teknolojiye has bir protokol konfigürasyonu ile ilgili bir problem veya cihazlar arasındaki parametrelerdeki farklılıktan dolayı olabilir. Üçüncü durum ile karşılaşıyorsanız kullandığınız arayüzde problem var demektir. Eğer son durum ile karşılaşıyorsanız yukarıda bahsedilen shutdown komutuyla manual olarak bu arayüzü kapatmışsınız demektir. Çalışıyor-------------Serial1 is up, line protocol is up Bağlantı problemi---Serial1 is up, line protocol is down Arayüz Problemi-----Serial1 is down, line protocol is down Çalışmıyor-----------Serial1 is administratively down, line protocol is down ÖRNEK YÖNLENDİRİCİ KONFİGÜRASYONU Bu Test Yönlendiricisidir User Access Verification Password: Istanbul>enable Password: Istanbul#configure terminal Istanbul(config)#enable password cisco Istanbul(config)#line console 0 Istanbul(config-line)#login Istanbul(config-line)#password cisco Istanbul(config-line)#exit Istanbul(config)#hostname Istanbul_Merkez Istanbul_Merkez(config)#prompt Istanbul Istanbul(config)#interface serial 1

80

Istanbul(config-if)#description Bu Ankara hattıdır Istanbul(config-if)#exit Istanbul(config)#exit Istanbul# Istanbul#show running-config Building configuration... Current configuration: ! version 11.2 ! no service udp-small-servers no service tcp-small-servers ! hostname Istanbul_Merkez prompt Istanbul ! enable password cisco ! no ip domain-lookup ! ipx routing 0000.3089.b170 ! interface Serial0 ip address 192.168.1.1 255.255.255.0 ipx network 12 ! interface Serial1 description Bu Ankara hattıdır ip address 192.168.2.1 255.255.255.0 ipx network 23 ! interface TokenRing0 ip address 192.168.3.1 255.255.255.0 ipx network 20 ring-speed 16 ! router rip network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 ! no ip classless ! ! ! banner motd ^C Bu Test Yönlendiricisidir ^C ! line con 0 password cisco login ! ! line aux 0

81

line vty 0 4 password cisco Login ! End 5.5. KONFİGÜRASYON DOSYASI YÖNETİMİ Okuyucu, RAM’de tutulan konfigürasyon dosyası ile NVRAM’de tutulan konfigürasyon dosyasını ayırdedebilmelidir. Yönlendirici başlatıldığında NVRAM’deki konfigürasyon dosyası RAM’e kopyalanır. Yönlendirici çalışırken yapılan bütün değişiklikler sadece RAM’deki konfigürasyon dosyasına kaydedilir. Ayrıca yönlendirici haricinde konfigürasyon dosyası TFTP sunucuda tutulabilir. CiscoWorks ve diğer yönetim ürünleri ile bir veya birden fazla yönlendiriciye konfigürasyon yapabilirsiniz. Aşağıdaki komut ile RAM, NVRAM ve TFTP sunucu arasında konfigürasyon dosyası kopyalanabilir. copy {tftp | running-config | startup-config} {tftp | running-config | startup-config}

Şekil 5.4’de görüldüğü üzere NVRAM’den RAM’e yapılan kopyalama işleminde RAM’de bulunan mevcut konfigürasyon ile yeni konfigürasyon birleştirilmektedir. TFTP sunucudan RAM’e yapılan kopyalama işlemi de aynı şekilde birleştirilmektedir. Fakat RAM’den NVRAM’e, TFTP sunucudan NVRAM’e, RAM’den TFTP sunucuya ve NVRAM’den TFTP sunucuya yapılan bütün kopyalama işlemlerinde kopyalanan yerdeki konfigürasyon dosyası silinerek yeni kopyalanan konfigürasyon dosyası kaydedilmektedir.

RAM

NVRAM

TFTP

Şekil 5.4 (Konfigürasyon Dosya Yönetimi) Peki RAM’de gerçekleştirilen birleşme işlemi nasıl olmaktadır. Eğer RAM’e kopyalanan konfigürasyon dosyası içinde hostname komutu gibi sadece bir değer alması gereken komutlar varsa kopyalanan dosya içindeki değer geçerli olacaktır. Yani siz NVRAM’den veya TFTP’den RAM’e bir konfigürasyon dosyası kopyalıyorsanız ve kopyaladığınız bu dosya içerisinde hostname Istanbul_Merkez varsa, RAM içinde bulunan hostname Istanbul komutu silinip yerine Istanbul_Merkez hostname olarak yazılacaktır. Fakat RAM’de bulunan konfigürasyon dosyası ile kopyalanacak olan dosya içerisinde birden fazla değeri olabilecek komutlar varsa o zaman bu komutların hepsi RAM’deki dosyada kaydedilir. Örneğin; kopyalanacak konfigürasyon dosyası içinde access-list 1 permit host 1.1.1.1 varsa ve RAM içinde farklı birçok access-list komutu olmasına rağmen bütün komutlar yeni oluşturulacak konfigürasyon dosyası içinde bulundurulacaktır.

82

Cisco IOS’un eski versiyonlarında kullanılan komutlar ile yeni versiyonlarında kullanılan komutlar arasında farklılıklar vardır. Fakat Cisco oluşturduğu yeni IOS versiyon komutlarında her zaman eski komutları belli bir süre için kullanmaya devam etmektedir. 5.6. BAŞLANGIÇ KONFİGÜRASYONU (SETUP MOD) Bu kitabın okuyucusu imtiyaz modunda iken configure terminal komutuyla girdiği global konfigürasyon modu ile başlangıç konfigürasyonu için kullanılan Setup modunu ayırdedebilmelidir. Eğer yönlendirici başlatıldığında Cisco IOS, NVRAM’de herhangi bir konfigürasyon dosyası bulamadıysa otomatik olarak sizi Setup Moduna yönlendirir. Ayrıca imtiyaz modunda iken setup komutuyla da bu moda geçebilirsiniz. Setup modunda iken yönlendirici ile ilgili en temel konfigürasyon yapılabilmektedir. Aşağıdaki örnekte NVRAM’de herhangi bir konfigürasyon dosyanın bulunmadığı ve IOS’un setup moduna yönlendirdiği bir örnek konfigürasyon göreceksiniz.

Notice: NVRAM invalid, possibly due to write erase. --- System Configuration Dialog --At any point you may enter a question mark ’?’ for help. Use Ctrl+C to abort configuration dialog at any prompt. Default settings are in square brackets ’[]’. Would you like to enter the initial configuration dialog? [yes]: First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value “NO” does not have a valid configuration Interface Serial0 Serial1 Ethernet0

IP-Address unassigned unassigned unassigned

OK? NO NO NO

Method unset unset unset

Status down down reset

Protocol down down down

Configuring global parameters: Enter host name [Router]: Istanbul_Merkez The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: cisco2 Enter virtual terminal password: cisco Configure SNMP Network Management? [yes]: n Configure IP? [yes]: Configure IGRP routing? [yes]: n Configure RIP routing? [no]: n Configuring interface parameters: Configuring interface Serial0: Is this interface in use? [yes]: Configure IP on this interface? [yes]:

83

IP address for this interface: 163.4.8.3 UYARI ! Number of bits in subnet field [0]: 0 Class B network is 163.4.0.0, 0 subnet bits; mask is /16 Configuring interface Serial1: Is this interface in use? [yes]: n Configuring interface Ethernet0: Is this interface in use? [yes]: y Configure IP on this interface? [yes]: IP address for this interface: 163.5.8.3 UYARI ! Number of bits in subnet field [0]: 0 Class B network is 163.5.0.0, 0 subnet bits; mask is /16 . . . . The following configuration command script was created: hostname Istanbul_Merkez enable secret 5 $1$aM8k$eUxp9JmsPgK.vP.nA5Tge. enable password cisco2 line vty 0 4 password cisco no snmp-server ! ip routing ! interface Serial0 ip address 163.4.8.3 255.255.0.0 ! interface Serial1 shutdown no ip address ! interface Ethernet0 ip address 163.5.8.3 255.255.0.0 ! End Use this configuration? [yes/no]: y

UYARI !

Building configuration...[OK] Use the enabled mode ’configure’ command to modify this configuration. Press ENTER to get started! Yukarıda yapılan bu konfigürasyonda iki noktaya dikkat edilmelidir. Arayüzlere IP adresi verilirken subnet maskeler için subnet alanındaki bit sayısı sorulmaktadır. Aşağıda göreceğiniz IOS 12.0 versiyonunda ise subnet maske için bit sayısı yerine 4 oktetlik subnet maskenin girilmesi beklenmektedir. Yukarıdaki örnek konfigürasyonda ilk iki uyarı bu noktayı belirtmektedir. Ayrıca yukarıdaki konfigürasyonda son uyarıda belirtilen yaptığınız bu konfigürasyonun RAM’den NVRAM’e kaydedilmesi için soru sorulmaktadır. Fakat IOS 12.0 versiyonunda yapılan bu konfigürasyonun kayıt altına alınması ile ilgili 3 farklı seçenek sunulmaktadır. Aşağıda IOS 12.0 versiyonunda yapılan örnek konfigürasyonu göreceksiniz. 84

--- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]: yes At any point you may enter a question mark ’?’ for help. Use Ctrl+c to abort configuration dialog at any prompt. Default settings are in square brackets ’[]’. Basic management setup configures only enough connectivity for management of the system, extended setup will ask you to configure each interface on the system Would you like to enter basic management setup? [yes/no]: no First, would you like to see the current interface summary? [yes]: Any interface listed with OK? value “NO” does not have a valid configuration Interface Serial0 Serial1 TokenRing0

IP-Address unassigned unassigned unassigned

OK? NO NO NO

Method unset unset unset

Status down down down

Protocol down down down

Configuring global parameters: Enter host name [Router]: Istanbul_Merkez The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: cisco The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: cisco2 The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: cisco Configure SNMP Network Management? [yes]: n Configure DECnet? [no]: Configure AppleTalk? [no]: Configure IPX? [no]: Configure IP? [yes]: Configure IGRP routing? [yes]: n Configure RIP routing? [no]: Configure bridging? [no]: Configuring interface parameters: Do you want to configure Serial0 interface? [yes]: y Configure IP on this interface? [yes]: IP address for this interface: 163.4.8.3 UYARI ! Subnet mask for this interface [255.255.0.0] : 255.255.255.0 Class B network is 163.4.0.0, 24 subnet bits; mask is /24 Do you want to configure Serial1 interface? [yes]: n Do you want to configure Ethernet0 interface? [yes]: y Configure IP on this interface? [yes]:

85

IP address for this interface: 163.5.8.3 Subnet mask for this interface [255.255.0.0] : 255.255.255.0 Class B network is 163.5.0.0, 24 subnet bits; mask is /24 The following configuration command script was created:

UYARI !

hostname Istanbul_Merkez enable secret 5 $1$Qxix$Fi3bvBVGMpEig9AI6gzxC. enable password cisco2 line vty 0 4 password cisco no snmp-server ! no decnet routing no appletalk routing no ipx routing ip routing no bridge 1 ! interface Serial0 ip address 163.4.8.3 255.255.255.0 no mop enabled ! interface Serial1 shutdown no ip address ! interface Ethernet0 ip address 163.5.8.3 255.255.255.0 ! end [0] Go to the IOS command prompt without saving this config. UYARI ! [1] Return back to the setup without saving this config. [2] Save this configuration to nvram and exit. Enter your selection [2]: 2 Building configuration... [OK]Use the enabled mode ’configure’ command to modify this configuration._ Press ENTER to get started! 5.7. CISCO DISCOVERY PROTOCOL (CDP) Cisco’ya has bir protokol olan CDP, kullandığınız anahtar veya yönlendiricinin komşuluğunda bulunan diğer Cisco ürünleri hakkında bazı temel bilgileri komşuluktaki cihazların birbirine aktarabilmesi için kullanılmaktadır. Bu protokol sayesinde 3.ncü katman bilgileri alınarak daha kolay bir SNMP yönetimi yapılmaktadır. Üstelik bu bilgiler alınırken kullandığınız cihazın 3.ncü katman protokol konfigürasyonu yapmaya ihtiyaç duymazsınız. Çünkü CDP protokolü 3.ncü katmandan bağımsız bir 2.nci katman protokolüdür. CDP protokol mesajlarının alışverişi için kullanılan ara yüzlerin SNAP desteğinin olması gerekmektedir. Bütün LAN ara yüzleri, HDLC, Frame Relay ve ATM ara yüzler CDP mesajlarını desteklemektedirler. CDP Protokolü aşağıda belirtilen temel bilgileri komşuluğunda bulunan Cisco cihazdan almaktadır.

86

• • • • •

Cihazın Kimliği (Device Identifier)—Cihazın host adı. Adres Listesi (Address list)—Mantıksal ve fiziksel adresi. Port Kimliği (Port Identifier)—Cihazınıza hangi porttan bağlı olduğu. Görev Listesi (Capabilities list)—Yönlendirici veya anahtar mı olduğu. Platform—Bu cihazın modeli ve hangi versiyon işletim sistemi kullandığı.

CDP protokolü öngörüldüğü şekliyle bütün Cisco cihazlarda çalışmaktadır. Bütün bir cihazda CDP protokolünü durdurmak için no cdp run, tekrar çalıştırmak için cdp run komutu kullanılmaktadır. Sadece tek bir ara yüzde CDP protokolünü durdurmak için öncelikle ara yüz moduna interface komutuyla girmeniz ve sonrasında no cdp enable komutu kullanılmanız gerekmektedir. Tekrar çalıştırmak için yine ara yüz modunda cdp enable komutunu kullanılmalıdır. Istanbul#show cdp neighbor Capability Codes: R - Router, S - Switch, Device ID Ankara Izmir

T - Trans Bridge, H - Host,

Local Intrfce Holdtme Ser 1 172 Ser 0.1 161

B - Source Route Bridge I - IGMP, r – Repeater

Capability R R

Platform 2500 2500

Port ID Ser 1 Ser 0.1

Istanbul#show cdp entry Ankara ------------------------Device ID: Ankara Entry address(es): IP address: 163.5.8.3 Platform: cisco 2500, Capabilities: Router Interface: Serial1, Port ID (outgoing port): Serial1 Holdtime : 168 sec Version : Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-D-L), Version 12.0(6), RELEASE SOFTWARE (fc1) Copyright 1986-1999 by Cisco Systems, Inc. Compiled Tue 10-Aug-99 23:52 by phanguye Istanbul#show cdp neighbor detail ------------------------Device ID: Ankara Entry address(es): IP address: 163.5.8.3 Platform: cisco 2500, Capabilities: Router Interface: Serial1, Port ID (outgoing port): Serial1 Holdtime : 164 sec Version : Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-D-L), Version 12.0(6), RELEASE SOFTWARE (fc1) Copyright 1986-1999 by Cisco Systems, Inc. Compiled Tue 10-Aug-99 23:52 by phanguye ------------------------Device ID: Izmir

87

Entry address(es): IP address: 10.1.5.252 Novell address: 5.0200.bbbb.bbbb Platform: cisco 2500, Capabilities: Router Interface: Serial0.1, Port ID (outgoing port): Serial0.1 Holdtime : 146 sec Version : Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-D-L), Version 12.0(6), RELEASE SOFTWARE (fc1) Copyright 1986-1999 by Cisco Systems, Inc. Compiled Tue 10-Aug-99 23:52 by phanguye Istanbul#show cdp interface Ethernet0 is up, line protocol is down Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds Serial0.1 is up, line protocol is up Encapsulation FRAME-RELAY Sending CDP packets every 60 seconds Holdtime is 180 seconds Serial1 is up, line protocol is up Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 seconds Seville#show cdp traffic CDP counters : Packets output: 41, Input: 21 Hdr syntax: 0, Chksum error: 0, Encaps failed: 0 No memory: 0, Invalid packet: 0, Fragmented: 0 CDP protokolünün edindiği bilgileri görüntülemek için bazı komutlar kullanılmaktadır. show cdp neighbor komutuyla komşulukta bulunan cihazların genel bilgilerini görüntülersiniz. show cdp entry (cihaz host adı) komutuyla da belli bir cihazın detay bilgilerini görüntülersiniz. show cdp neighbor detail komutuyla komşulukta bulunan cihazların detay bilgilerini görüntülersiniz. show cdp interface komutuyla bağlı olduğunuz cihazın ara yüzleri ve cdp mesajları hakkında bilgi alırsınız. show cdp traffic komutuyla cdp trafiği ile ilgili istatistikleri görüntülersiniz. 5.8. IOS DOSYASI YÖNETİMİ Flash hafıza, Cisco IOS işletim sisteminin kaydedildiği sabit ve tekrar yazılabilir bir hafızasıdır. Yönlendirici kapatıldığında mevcut IOS bu hafızada tutulduğundan, tekrar başlatıldığında bu hafızadan IOS dosyası alınarak kullanılır. Kullandığınız yönlendiricinin işletim sistemini yeni IOS dosyası ile güncelleştirmek istediğiniz zaman copy tftp flash komutunu kullanabilirsiniz. Yönlendiricinin IOS dosyasını TFTP sunucunun öngörülen dizinine kopyaladıktan sonra bu komutu kullanabilirsiniz. Istanbul#copy tftp flash

88

System flash directory: File Length Name/status 1 7530760 c4500-d-mz.120-2.bin [7530824 bytes used, 857784 available, 8388608 total] Address or name of remote host [255.255.255.255]? 192.168.3.133 Source file name? c4500-d-mz.120-5.bin Destination file name [c4500-d-mz.120-5.bin]? Accessing file c4500-d-mz.120-5.bin ’ on 192.168.3.133... Loading c4500-d-mz.120-5.bin from 192.168.3.133 (via TokenRing0): ! [OK] Erase flash device before writing? [confirm] Flash contains files. Are you sure you want to erase? [confirm] Copy ‘c4500-d-mz.120-5.bin ’ from server as ‘c4500-d-mz.120-5.bin ’ into Flash WITH erase? [yes/no]y Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Loading c4500-d-mz.120-5.bin from 192.168.3.133 (via TokenRing0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!! [OK – 7530760/8388608 bytes] Verifying checksum... OK (0xA93E) Flash copy took 0:04:26 [hh:mm:ss] Istanbul# Yukarıdaki örnekte de görüleceği gibi IOS dosyasını kopyalarken, yönlendirici 4 noktayı öğrenmek istemektedir. Bunlar; ¾ ¾ ¾ ¾

TFTP sunucunun IP adresi veya host adı IOS dosyasının adı Flash hafızada kopyalanacak IOS dosyası için yeterli yerin olup olmadığı Flash hafızada IOS dosyası için yeterli yer yoksa yer açmak için eski dosyanın silinip silinmeyeceği gibi noktalardır.

Yönlendiricinin flash hafızasıyla ilgili bilgileri görüntülemek için show flash komutu 89

kullanılmaktadır. Istanbul#show flash System flash directory: File Length Name/status 1 7530760 c4500-d-mz.120-5.bin [7530760 bytes used, 857848 available, 8388608 total] 8192K bytes of processor board System flash (Read ONLY) Cisco cihazlarının hangi IOS imajlarını kullanacağı 2 farklı yolla belirlenir. Bunlardan ilki 16 bitlik konfigürasyon kayıt (configuration register) değeri ile yapılabilir. Diğeri ise boot system komutu ile yapılabilmektedir. Konfigürasyon kayıt değerinin son 4 bitlik alanına boot alanı (boot field) denir ve tek hexadesimal sayı ile gösterilir. 2102 konfigürasyon kayıt değerinin ikilik sayı düzeninde gösterilmesi şu şekildedir. 15 0

14 0

13 1

12 0

11 0

10 0

9 0

8 1

7 0

6 0

5 0

4 0

3 0

2 0

1 1

0 0

Cisco yönlendirici ve anahtarlar başlatılırken 3 ana işlem yapılmaktadırlar. 1. Cihaz önce kendi iç donanımının çalışıp çalışmadığını kontrol eder. Bu işleme Power On Self Test (POST) denir. 2. Cihazın donanımında herhangi bir problem oluşmadığı takdirde işletim sistemini (IOS) aramaktadır. 3. İşletim Sistemini de bulduktan sonra cihazın konfigürasyon ayarlarını aramaktadır. Cisco yönlendirici, IOS imajını boot alanı ve boot system komutuna göre yüklemektedir. Yönlendirici başlatıldığında IOS imajını yüklemek için oluşabilecek alternatifler tablo 5.4’te görülmektedir. BOOT ALANI DEĞERİ

BOOT SYSTEM KOMUTU

0x0

boot system komutu varsa ihmal edilir.

ROM Monitör modunda açılır.

0x1

boot system komutu varsa ihmal edilir.

ROM’dan IOS yüklenir.

0x2-0xF

boot system komutu yoktur.

0x2-0xF

boot system ROM

ROM’dan IOS yüklenir.

0x2-0xF

boot system flash

Flash hafızadan bulduğu ilk dosyayı yükler.

0x2-0xF

boot system flash (dosya adı)

Flash hafızadan komutta adı yazılan dosyayı yükler.

0x2-0xF

boot system tftp (IP Adresi) (dosya adı)

TFTP sunucudan komutta adı yazılan dosyayı yükler.

0x2-0xF

Birçok boot system komutları vardır.

İlk boot system komutundan başlamak üzere IOS imajı yükleyene kadar sırayla bütün boot system komutlarını uygular.

SONUÇ

Önce Flash’dan IOS yüklenir. Eğer yoksa broadcast ile TFTP sunucu aranır. Yine bulamazsa ROM’dan IOS yüklenir.

90

Tablo 5.4 (Boot System Komutu) Cisco yönlendiricinin şifresi bilinmiyorsa veya herhangi bir sebepten dolayı yönlendirici başlatılamıyorsa tablo 5.5’teki prosedür kullanılır. Öncelikle power düğmesi kullanılarak yönlendirici kapatılıp tekrar başlatılır. İlk 60 saniye içerisinde klavye üzerindeki Break tuşuna basılır. Bu tuşun basılmasıyla yönlendirici ROM Monitör modunda başlatılmış olacaktır. ROM Monitör yazılımı ya ROM’da ya da bootflash adı verilen ek bir flash hafızada tutulur. ROM Monitör, flash hafızada IOS bulunamadığı zaman yönlendiriciyi başlatacak sınırlı IOS fonksiyonu yapan bir yazılımdır. ROM Monitör modunda iken konfigürasyon kayıt (configuration register) değerindeki boot alanındaki 7.nci bit sıfırdan 1’e çevrilmelidir. Yani öngörülen değeri 0x2102 olan konfigürasyon kayıt değeri 0x2142 yapılmalıdır. Böylece yönlendirici tekrar başlatıldığında NVRAM’de kayıtlı tutulan konfigürasyon dosyası okunmaz ve şifre sorulmaz. Bu değişikliğin hangi yönlendiricilerde nasıl yapılacağı tablo 5.5’te 3.ncü adımda gösterilmiştir. 1600,2600,3600, 4500,7200,7500 seri yönlendiricilerde confreg komutu yazıldığında bir çok soru sorulacaktır. Bu sorulardan “Ignore system config info[y/n]?” sorusu NVRAM’deki konfigürasyon dosyasını yönlendirici başlatılırken devreden çıkartılıp çıkartılmayacağı hakkındadır. Bu soruya evet diyerek NVRAM’i devreden çıkartabilirsiniz. Böylece yönlendiricinin bir sonraki başlatılmasında NVRAM’deki konfigürasyon dosyası ihmal edilmiş olacak ve şifre sorulmayacaktır. Boot alanı değiştirildikten sonra yapılan değişikliğin kaydedilmesi için yönlendirici tekrar başlatılır. Yönlendirici tekrar başlatıldığında konfigürasyon dosyası bulunamadığı için temel konfigürasyonların yapılması için yönlendirici setup moduna girip girmeyeceğinizi soracaktır. Setup moduna girmeyi kabul etmeden İmtiyaz moduna girip gerekli şifreleri değiştirebilirsiniz. Gerekli ayarları yaptıktan sonra daha önce devreden çıkartılmış olan NVRAM konfigürasyon dosyasını okuması için config-reg 0x2102 komutuyla boot alanındaki 7.nci bit tekrar 1’den sıfıra dönüştürülmelidir. Yapılan bütün değişiklikleri NVRAM’deki konfigürasyon dosyasına kaydederek yönlendiriciyi tekrar başlatabilirsiniz. Adım

Fonksiyon

1600,2600,3600, 4500,7200,7500

2000,2500,3000, 4000,7000

1

Yönlendiriciyi kapat ve tekrar çalıştır.

Power anahtarı kapa ve aç.

Power anahtarı kapa ve aç.

2

İlk 60 san. İçinde Break tuşuna bas.

Klavyedeki Break tuşuna bas.

Klavyedeki Break tuşuna bas.

3

Konfigürasyon kayıt değerindeki 6 nolu biti 1 yap.

confreg komutunu yaz ve soruları cevapla. “Ignore system config info[y/n]?”, “y” bas.

o/r 0x2142 komutunu yaz.

4

IOS’u yönlendiriciye yükle.

reload komutunu yaz veya power anahtarını kapa ve aç.

initialize komutunu yaz.

5

Açılırken sorulacak olan Setup moduna girme.

No yaz.

No yaz.

6

İmtiyaz Moduna (Privileged Mode) gir.

Enter’a bas ve enable komutunu yaz.

Enter’a bas ve enable komutunu yaz.

7

Şifreyi görmek için Startup (NVRAM) konfigürasyonu incele.

show startup-config komutunu yaz.

show startup-config komutunu yaz.

8

Şifreyi değiştir.

enable secret xyz231 komutunu yaz.

enable secret xyz231 komutunu yaz.

9

Konfigürasyon kayıt değerini orijinal haline dönüştür.

config-reg 0x2102 komutunu yaz.

config-reg 0x2102 komutunu yaz.

91

10

Konfigürasyonu kaydettikten sonra yönlendiriciyi tekrar aç.

Önce copy running-config startup-config sonra reload komutunu yazın.

Tablo 5.5 (Şifre Kırma)

92

Önce copy running-config startup-config sonra reload komutunu yazın.

ÜNİTE 6 – KÖPRÜLEME VE ANAHTARLAMA 6.1. KÖPRÜLEME 1980’li yılların başlarında yaygınlaşmaya başlayan köprüler ilk başta aynı 2.nci katman teknolojilerini kullanan homojen ağlar arasında kullanıldı. Daha sonraki yıllarda farklı teknolojileri birleştirmek için standartlar belirlendi ve bu standartlara uygun köprüler kullanıldı. Ağların büyümesiyle daha büyük ağları birbirine bağlama ihtiyacı doğdu. Bu ihtiyacı karşılamak üzere anahtarlama teknolojisi geliştirildi. Anahtarların sonraki yıllarda özellikle daha verimli bir performans ve daha fazla port yoğunluğu sağlaması, port başına düşen maliyeti azaltması ve ağ oluşumundaki esnekliği gibi konular anahtarlara olan ilgiyi ciddi miktarda artırdı. Köprüler ve anahtarlar yönlendirme işlemini MAC adreslerine göre yaptıklarından dolayı 2.nci katmanda çalışmaktadırlar. Yukarıda anlatılan gelişim süreci içinde 4 köprüleme metodu vardır. Bunlar; ¾ ¾ ¾ ¾

Şeffaf Köprüleme (Transparent Bridging) Kaynak-rota Köprüleme (Source-route bridging (SRB)) Kaynak-rota çevirmen Köprüleme (Source-route translational bridging (SR/TLB)) Kaynak-rota şeffaf Köprüleme (Source-route transparent bridging (SRT))

Şeffaf Köprüleme (Transparent Bridging): Şeffaf Köprüleme DEC tarafından 1980’lerde geliştirilmiş ve Ethernet/IEEE 802.3 ağlarda yaygın olarak kullanılmaktadır. Şeffaf köprüler, kaydet-ve-yönlendir (store-and-forward) metodunu kullanarak yönlendirme yaparlar. Dolayısıyla bu da iletişimde ek geciktirmeyi de beraberinde getirir. Şeffaf köprüler, data yönlendirmesi yaparken 3 ana işlem yapmaktadırlar. • • •

Şeffaf Köprüler tarafından alınan bütün frame yapıların kaynak MAC adresleri incelenerek MAC adres tablosu oluşturulur. Oluşturulan bu MAC adres tablosuna göre alınan frame yapıdaki hedef MAC adresi incelenir ve filtrelenir. Diğer köprülerle STP protokolü kullanılarak döngüsüz (loop-free) bir ortam oluşturulur. 0100.3333.3333

0100.4444.4444

B

WINS Sunucu

A

C 0100.2222.2222

0100.1111.1111

Şekil 6.1 (Şeffaf Köprüleme) Şekil 6.1’deki gibi bir ağda A bilgisayarı B bilgisayarına ulaşmak istediğinde öncelikle WINS sunucudan B bilgisayarının IP adresini öğrenmelidir. A bilgisayarında daha önceden WINS sunucunun IP adresi konfigüre edildiğinden A bilgisayarı, ARP Request mesajını broadcast yaparak WINS sunucunun MAC adresini öğrenir. A bilgisayarı WINS sunucuya B bilgisayarının IP adresini sorar. WINS sunucu da kendi veritabanında B bilgisayarının IP adresini bularak verir. A bilgisayarı B bilgisayarının MAC adresini öğrenmek üzere yeni bir ARP Request mesajını

93

broadcast yapar. B bilgisayarı kendi MAC adresini vererek A bilgisayarı ile kendisi arasında iletişim kurulmasını sağlar. Bu örnekte dikkat edilirse yapılan bütün broadcast, ağın tamamını meşgul etmektedir. 0100.4444.4444

WINS Sunucu 0100.3333.3333

Köprü

B

E1 E0

A 0100.1111.1111

C 0100.2222.2222

Şekil 6.2 (Şeffaf Köprüleme) Daha önceki ağa köprü koyulduğunda hemen hemen bütün trafik aynı şekilde işlemektedir. Köprü bütün broadcast iletişimi ve WINS sunucuya giden trafiği yönlendirmektedir. Fakat A bilgisayarı ile B bilgisayarı arasındaki trafiği WINS sunucunun bulunduğu segmente yönlendirmeyecektir. Böylelikle ağda daha iyi bir performans yakalanmaktadır. Daha büyük ağlarda bu performans daha etkili olacaktır. Kaynak-rota Köprüleme (Source-route Bridging (SRB)): IBM tarafından geliştirilen bu köprüleme algoritması Token-Ring ağlarda kullanılmaktadır. Kaynak-rota köprüler kaydet-veyönlendir metodunu kullanarak köprüleme yapmaktadırlar. SRB algoritmasını bir örnekle inceleyelim. Host C

LAN 2

LAN 3

Köprü 3

Köprü 4

Köprü 1 Köprü 2

LAN 4

LAN 1

Host A

Şekil 6.3 (Kaynak-rota Köprüleme)

94

Şekil 6.3’teki örnekte Host A, Host C’ye data göndereceğini düşünelim. Host A, ilk başta Host C’nin hangi LAN segmentinde olduğunu bilmediğini varsayalım. Host A, Host C’nin yakın veya uzak segmentte olduğunu anlaması için test frame yapısı gönderir. Eğer frame, Host C tarafından görüldüğünü belirten pozitif belirti olmaksızın geri dönerse Host A, Host C’nin uzak segmentte olduğunu kabul eder. Daha sonra Host A, Host C’nin uzak segmentteki tam yerini öğrenmek için keşif frame yapısı (explorer frame) gönderir. Bu frame yapıyı alan bütün köprüler diğer portundan bu paketleri gönderirler. Şekil 6.3’teki örnekte Köprü 1 ve 2 bu keşif frame yapıları gönderirler. Göndermeden önce de keşif frame yapıya rota bilgisi eklenir. Host C’ye gelene kadar bu işlem bütün köprüler tarafından tekrarlanır. Host C, farklı yollardan gelen bütün keşif frame yapılara ayrı ayrı cevap verir. Host A’ya geri dönen bu keşif frame yapılar içinde biriken rotalardan biri seçilir. Örneğimizde iki farklı rota vardır. Bunlar; • •

LAN 1 – Köprü 1 – LAN 3 – Köprü 3 – LAN 2 LAN 1 – Köprü 2 – LAN 4 – Köprü 4 – LAN 2

Rotanın seçimi IEEE 802.5 standartında belirtilen bazı önerilerin yardımıyla gerçekleşmektedir. Bu öneriler şunlardır; • • •

İlk alınan keşif frame yapıdaki rota Rotalar üzerindeki trafik yoğunluğunun az olması MTU değerinin en yüksek olması

Birçok durumda ilk öneri kullanılmaktadır. Alternatif rotalardan biri seçildikten sonra, seçilen rota Host Y’ye gönderilecek bütün frame yapıların Yönlendirme Bilgi Alanına (Routing Information Field-RIF) konmaktadır. Bu alan uzak segmente gönderilecek frame yapılar içerisinde oluşturulur. IEEE 802.5 standardında bu alanın varlığı Yönlendirme Bilgi İmgeci (Routing Information Indicator-RII) ile belirlenir. Hedef Adres

RII

Kaynak Adres

RIF

Data

FCS

IEEE 802.5 Frame Yapısı Kaynak-rota çevirmen Köprüleme (Source-route translational bridging-SR/TLB) Şeffaf Köprüleme Ethernet ağlarda ve Kaynak-rota Köprüleme Token-Ring ağlarda kullanıldığı bahsedildi. Hem Ethernet hem de Token-Ring ağları birleştirmek için iki teknolojinin çalışma sistemini anlayacak ve arada çevirmenlik görevi üstlenecek bir köprülemeye ihtiyaç vardır. Bu görevi Kaynak-rota çevirmen Köprüleme üstlenmektedir. Ethernet ve Token-Ring kartlarının MAC adreslerini farklı ifade etmeleri, ARP protokolü gibi protokollerin MAC adreslerini data kısmında taşımaları, her iki teknolojinin farklı MTU değerlerinin olması, iki teknolojinin de kullandıkları frame yapıları içinde birbirlerinin kullanmadığı alanların olması gibi daha bir çok nedenden dolayı iki teknoloji arasında iletişimin sağlanması için bu çeşit köprülemeye ihtiyaç duyulmuştur. 1980’lerin ikinci yarısında ortaya çıkan bu köprülemede hiçbir üretici kendi standardını endüstriye kabul ettirememiş ve her firma kendi standardı ile üretim yapmıştır. Bu konuda geliştirilen her teknik, Ethernet ve Token-Ring frame yapılarının birbirine dönüşümünü sağlayıcı sistem içermektedir. Kaynak-rota şeffaf Köprüleme (Source-route transparent bridging (SRT)): SRT algoritması şeffaf köprüleme ve Kaynak-rota köprülemesinin kombinasyonundan oluşmaktadır. SRT köprüleri, aldıkları frame yapıların içindeki Yönlendirme Bilgi İmgecini (Routing Information Indicator-RII) kullanarak ayırım yapmakta ve bu ayırıma göre ya şeffaf köprüleme veya SRB algoritması kullanılmaktadır. Yani bu köprüler üzerinde iki algoritma da çalışmakta ve dönüşüme gerek duyulmamaktadır. Eğer RII biti 1 ve RIF alanı frame yapıda varsa, köprü SRB algoritması

95

kullanır. Eğer RII biti 0 ve RIF alanı frame yapıda yoksa, köprü şeffaf köprüleme algoritmasını kullanır. Bu çeşit köprüleme avantajlarına rağmen sorunsuz değildir. SRT köprüleri işlevlerini sürdürebilmesi için mutlaka donanım ve yazılım olarak güncellenmeli ve kapasitesi artırılmalıdır. 6.2. ANAHTARLAMA Ethernet anahtarları, köprülerin yaptığı fonksiyonların aynısı yapmaktadır. Daha önce de bahsedildiği gibi anahtarlar daha çok port bulundurduklarından dolayı çok portlu köprüler (multi-port bridge) olarak bilinmektedirler. Anahtarlar çok portlu olduklarından dolayı hem data yönlendirmesinde hem de filtrelemesinde daha verimli çalışmaktadır. LAN anahtarlarının çalışma şekli şöyledir; ¾ ¾ ¾ ¾

Anahtar tarafından frame yapı alınır. Kaynak MAC adresi alınarak MAC adres tablosu oluşturulur. Eğer hedef MAC adresi broadcast veya multicast ise alınan port hariç diğer portlardan gönderilir. Eğer MAC adresi unicast ise ve bu adres, MAC adres tablosunda yok ise alınan port hariç diğer bütün portlardan gönderilir. Eğer MAC adresi unicast ise ve MAC adres tablosunda bu adres var ise hangi porta bağlı olduğu tespit edilir ve o porttan gönderilir. Fakat MAC adres tablosunda bağlı olduğu port frame yapının geldiği port ise geri gönderilmez. 0100.2222.2222

C

0100.4444.4444

Anahtar

E0

Ethernet

DNS Sunucu E1

E2

A

B

0100.3333.3333

0100.1111.1111

Şekil 6.4 (Anahtarlama) Daha önce incelediğimiz örneği ağda anahtar bulunduğu şekliyle inceleyelim (Şekil 6.4). A bilgisayarı B bilgisayarına ulaşmak istediğinde şunlar olmaktadır. MAC ADRES TABLOSU ARP (DNS Sunucu MAC Adresi?) 1 -------------------------------------------------------------> 0100.1111.1111 E0 Hedef MAC = FFFF.FFFF.FFFF Kaynak MAC= 0100.1111.1111 ARP 0100.1111.1111 E0 2 0100.1111.1111 0100.4444.4444 E1 96

Hedef MAC = 0100.4444.4444 Kaynak MAC= 0100.1111.1111

4

5

6

7

DNS Reply Hedef MAC = FFFF.FFFF.FFFF Kaynak MAC= 0100.1111.1111 ARP Hedef MAC = 0100.3333.3333 Kaynak MAC= 0100.1111.1111

0100.1111.1111 0100.3333.3333 0100.4444.4444

E0 E2 E1

Grafiksel anlatımdan da anlaşıldığı üzere anahtar broadcast iletişimi önlememektedir. Daha önce de köprülerin broadcast iletişimi önlemediğini görmüştük. ARP protokolü bilgisayarların MAC adres bilgilerini öğrenmek için kullanılan ve broadcast ile çalışan bir protokoldür. Öğrenilmek istenen MAC adresi data alanında taşınır. Anahtar, yukarıdaki örnekte görüldüğü gibi ARP protokolüyle sorgulanan MAC adres bilgisi data kısmında bulunmasına rağmen bu bilgiyi okuyup MAC adres tablosuna eklemektedir. Ayrıca MAC adres tablosu oluşturulduktan sonra trafik unicast ise sadece ilgili porttan data gönderilmektedir. Yani B bilgisayarı ile A bilgisayarı arasındaki iletişimde sadece E0 ve E2 portları kullanılmakta asla E1 portundan data gönderilmemektedir. Genel olarak anahtarlar port sayısı kadar çarpışma etki alanı oluştururlar. Anahtarlar, köprüler gibi broadcast ve multicast iletişimi için bir duvar oluşturmadıklarından örneğimizdeki ağ tek bir broadcast etki alanı oluşturur. Ağda sadece hub, köprü ve anahtarların olduğu bütün durumlarda yine tek bir broadcast etki alanı oluşturulur. 6.2.1. Anahtarlama Metotları Köprüler sadece kaydet-ve-yönlendir metodunu kullanarak MAC adreslerine göre yönlendirme yapmaktadırlar. Fakat anahtarlar kendi iç yönlendirme mekanizmalarında 3 farklı metot kullanmaktadırlar. Bunlar; ¾ ¾ ¾

Kaydet-ve-yönlendir (Store-and-forward) Cut-Through Fragment-free

Kaydet-ve-yönlendir (Store-and-forward): Anahtar, frame yapıyı bütünüyle alır ve FCS değerini inceleyerek frame yapıda bozulmanın olup olmadığını araştırır. Bozulma yoksa hedef MAC adresini öğrenip kendi MAC adres tablosuna göre yönlendirme işlemini yapar. En fazla gecikme (latency) bu metotta vardır. Fakat datanın güvenliliği sağlanır. Cut-through: Anahtar, frame yapıyı alıyorken hedef MAC adresini öğrenir ve MAC adres tablosuna bakarak yönlendirilecek portu tespit eder. Almakta olduğu frame yapının son bitini beklemeden gönderilmesi gereken porttan göndermeye başlar. FCS değerini hesaplayarak datanın güvenliliğini teyit etmez. Fakat gecikme (latency) süresi en az olan metottur.

97

Fragment-free: Anahtar, frame yapının ilk 64 byte almasını bekler. Ethernet ağlarda çarpışma (collision) ilk 64 byte’da olması beklenir. Çarpışma olmazsa frame yapının bozulmadığı düşünülerek aynen cut-through metodunda olduğu gibi frame yapının son biti beklenmeden yönlendirilir. Yine FCS değeri hesaplanıp datanın güvenliliği teyit edilmez. 6.3. UZATILMIŞ AĞAÇ PROTOKOLÜ (SPANNİNG TREE PROTOCOL-STP) Uzatılmış Ağaç Protokolü, birbirlerine birden fazla köprü ile bağlanmış LAN segmentleri arasında sadece tek bir aktif rotayı dinamik olarak oluşturmayı sağlayan bir protokoldür. IEEE 802.1d standardında içerilmektedir. Özellikle data iletişiminin devamlı olarak sağlanması ve alternatif bağlantının yedekte tutulması gereken ağlarda bulunan bütün köprüleme işlemi yapan cihazlarda bu dinamik protokol kullanılmaktadır.

Anahtar 1

B Anahtar 2

C

Anahtar 3

A Şekil 6.5 (Uzatılmış Ağaç Protokolü) Şekil 6.5’te görüldüğü üzere anahtarlara bağlı olan segmentlerin birbirlerine ulaşımının devamlılığı için birden fazla bağlantı bulunmaktadır. Bu örnekte olduğu gibi A bilgisayarının kapalı olduğunu düşünelim. Ağdaki hiçbir anahtarın MAC Adres tablolarında A bilgisayarının MAC adresi ile ilgili bilgi bulunmayacaktır. Ağdaki diğer bilgisayarlar (B ve C) A bilgisayarına data gönderdikleri zaman gönderilen data, ağda bir döngü halinde dolaşacaktır. Örneğin B bilgisayarı A bilgisayarına gönderilmek üzere Anahtar 1’e data gönderdiğinde MAC adres tablosunda A bilgisayarına ait hiç bir bilgi olmadığı için data geldiği port hariç bütün portlardan gönderilecektir. Yani data Anahtar 1’e bağlı diğer bilgisayarlara ulaştığı gibi Anahtar 2 ve 3’e de ulaşacaktır. Anahtar 2 ve 3, yine A bilgisayarına ait bir bilgi MAC adres tablosunda bulamayacağı için datayı aldığı port hariç diğer portlardan gönderecektir. Data Anahtar 2 ve 3’e bağlı bütün bilgisayarlara ulaşacağı gibi; Anahtar 2 ve 3 tekrar bu datayı alacaktır. Çünkü Anahtar 2, datayı Anahtar 1’den aldığı için diğer portların yanında Anahtar 3’ün bağlı olduğu porta da gönderecektir. Aynı şekilde Anahtar 3 de datayı Anahtar 1’e bağlı olduğu porttan aldığı için Anahtar 2’ye bağlı olduğu porttan datayı gönderecektir. Bu da ağ üzerinde döngünün oluşmasına neden olacaktır. Eğer A bilgisayarına broadcast olarak bir data gönderilse bu da döngü halinde ağda dolaşacak ve bir önceki durumdan çok daha kötü sonuçlar doğuracaktır. Tabii ki ağ cihazları arasında tek bir bağlantının olması, bağlantılardan birinin kopması halinde ağdaki iletişimin bölünmesine neden olacaktır. Dolayısıyla ağda yedek (redundant) bağlantıların olması iletişimin sürekliliğini sağlayacaktır. Fakat ağda döngü halinde dolaşan datanın olmaması için de ağda tek bir aktif rotanın olması ve bağlantıların birinde problem oluştuğunda dinamik 98

olarak yeni rotanın devreye girmesi gerekmektedir. Bu çözümü Uzatılmış Ağaç Protokolü sunmaktadır. Bu protokolün sağladığı yararlar şöyle özetlenebilir; ¾ ¾

¾

Ağda fiziksel olarak yedek bağlantı bulunmaktadır, bağlantıların birinde problem çıktığında devreye bir başkası girmektedir. Köprüleme veya anahtarlama yapan cihazlar kendi işlevlerini yerine getirirken çoklu yol alternatiflerinin bulunması çalışma prensiplerine ters düşmektedir. Bu protokol, tek aktif yol oluşturarak bunu önlemektedir. Ağda döngülerin oluşması ve dolayısıyla ağ tıkanması önlenmektedir.

6.3.1. Uzatılmış Ağaç Protokolü Çalışma Sistemi Uzatılmış Ağaç algoritması ağda döngülerin oluşmasını önlemektedir. Anahtarlar belli aralıklarla uzatılmış ağaç topolojisi belirlemek için mesajlaşırlar. Bu mesajlara Konfigürasyon Köprü Protokol Data Birimi (Configuration Bridge Protocol Data Units (CBPDU)) denir. Uzatılmış ağaç topolojisi oluşturulurken anahtarların her bir portu belli durumlara sokulur. Bu durumlar şunlardır; • • • • •

Bloklama (Blocking) – Data gönderilmez ve CBPDU mesajları dinlenir. Dinleme (Listening) – Data gönderilmez fakat datanın ulaşıp ulaşmadığı dinlenir. Öğrenme (Learning) – Data gönderilmez ve adresler öğrenilir. Gönderme (Forwarding) – Data gönderilir ve adresler öğrenilir. Kapama (Disabled) – Data gönderilmez ve CBPDU mesajları dinlenmez.

CBPDU mesajların frame yapısı Şekil 6.6’da görülmektedir. ALAN Protokol Kimliği (Protocol Identifier) Versiyon (Version) Mesaj Tipi (Message Type) Bayraklar (Flags) Kök ID (Root ID) Kök Değeri (Cost to Root) Köprü ID (Bridge ID) Port ID Mesaj Yaşı (Message Age) Maksimum Yaş (Maximum Age) Merhaba Zamanı (Hello Time) Gönderme Gecikmesi (Forward Delay) Şekil 6.6 (CBPDU Mesajı)

2 1 1 1 8 4 8 2 2 2 2 2

BYTE byte byte byte byte byte byte byte byte byte byte byte byte

Protokol Kimliği-Frame yapının STP protokolünün mesajı olduğu belirtilir. Versiyon-Versiyonu belirtir. Mesaj Tipi-Mesajın tipi belirtilir. Bayraklar-Topoloji değişikliklerinde kullanılır. Kök ID-Ağdaki mevcut kök köprüyü belirtir. Köprü önceliği, Köprü MAC adresi ve Kök Köprü olarak bilinen köprünün ID bilgilerini içerir. Kök Değeri-Bant aralığına göre belirlenen ve CBPDU mesajını kök köprüye gönderen köprünün portuna verilen değerdir.

99

Köprü ID-CBPDU mesajını gönderen köprüyü belirtir. Köprü önceliği ve Köprü MAC adres bilgilerini içerir. Port ID-CBPDU mesajını gönderen portu belirtir. Port önceliği bilgilerini içerir. Mesaj Yaşı-CBPDU mesaj yaşını belirtir. Maksimum Yaş-CBPDU mesajının ne zaman süresinin biteceğini belirtir. Merhaba Zamanı (Hello Time)-Hangi sıklıkla CBPDU mesajlarının gönderileceğini belirler. Gönderme Gecikmesi (Forward Delay)-Köprü ne kadar süre ile Dinleme ve Öğrenme durumunda kalacağını belirler. Uzatılmış Ağaç topolojisi 3 adımda oluşturulmaktadır. • Kök köprüyü (root bridge) seçme • Kök portları (root port) seçme • Atanmış portları (designated port) seçme 6.3.2. Uzatılmış Ağaç Topolojisi Oluşturma Kök köprüyü (Root Bridge (Switch)) seçme: Şekil 6.7’de görünen örnekte uzatılmış ağaç topolojisinin nasıl oluştuğunu inceleyelim. Topoloji oluşturulurken bütün portlar blok durumundadır. Uzatılmış Ağaç Topolojisi oluşturulduğunda ise portlar ya blok veya gönderme durumu olarak konfigüre edilirler. ID=0100.1111.1111 Öncelik=32768

Anahtar 1 E1

E0

Anahtar 2 ID=0100.2222.2222 Öncelik=32768 E0

E1

ID=0100.4444.4444 Öncelik=32768

E0

E1 E1

ID=0100.3333.3333 Öncelik=32768

E0 Anahtar 4

Anahtar 3

Şekil 6.7 (STP Topolojide kök köprü seçimi) Örnekteki bütün cihazlar ilk başta kendilerini kök köprü olarak belirten CBPDU mesajları birbirlerine gönderirler. Bu mesajlar önemli bilgiler içermektedir. ¾ ¾ ¾ ¾

Her cihaz kendini kök köprü olarak kabul ettiği için kök köprü bilgisi içersinde kendi bilgilerini yazar. Öncelik değeri CBPDU mesajını gönderen ile kök köprü arasındaki kök değeri. Bütün cihazlar kendilerini kök köprü kabul ettiklerinden ilk mesajlarındaki değer sıfırdır. Köprünün kimlik bilgileri. Yine bütün cihazlar kendilerini kök köprü kabul ettiklerinden ilk mesajlardaki kök köprü ile köprü kimlik bilgileri aynıdır.

CBPDU mesajları bütün cihazlar tarafından gönderildikten sonra kök köprü cihazların öncelik değeri küçük olana göre seçilir. Eğer bütün cihazların öncelik değerleri eşit ise köprülerin MAC adresleri karşılaştırılır. MAC adresleri tek olduğu için mutlaka biri küçük olacaktır. MAC adresi küçük olan köprü, kök köprü olarak seçilir. Bütün Cisco Catalyst anahtarlarda öngörülen öncelik değeri 32768’dir. Kök köprü seçildikten sonra gönderilen CBPDU mesajlarında her cihaz kendini kök köprü olarak belirtmeyi durdurarak kök köprü olarak seçilen köprü belirtilir. Örnekte 1.nci köprü kök köprü olarak seçilecektir. Kök köprünün bütün portları gönderme durumuna dönüştürülerek bu portlardan data göndermesine izin verilmektedir.

100

Kök Portları (Root port) seçme: Köprüler, kök köprüye olan bağlantıların kök değerlerini hesaplarlar. Diğer köprü veya anahtardan aldıkları CBPDU mesajlarının kök değer alanına hesapladıkları kök değerlerini ekleyerek başka bir köprü veya anahtara CBPDU mesajı gönderirler. Aldıkları porttan mesajları geri göndermezler. Kök değerleri, 1000’in portların bağlı oldukları ortamın bant aralığına bölünmesiyle hesaplanır. Örneğin; ortam Ethernet ise kök değeri 1000/10=100, ortam Fast Ethernet ise kök değeri 1000/100=10’dur. KÖK KÖPRÜ (ANAHTAR) Anahtar 1 E0 Kök Değeri=0 10 Mbps E1 100 Mbps

Anahtar 2 E1 E0 10 Mbps

E0 Kök Değeri=10 Anahtar 4

Kök Değeri=100

E1 E1 100 Mbps

E0

Kök Değeri=20 Anahtar 3

Şekil 6.8 (STP Topolojide kök portları seçme) Şekil 6.8’de görüldüğü üzere 1.nci anahtar kök köprü olarak seçilmişti. Kök köprü (veya anahtar) kök değerini 0 (sıfır) olarak kabul eder ve CBPDU mesajının kök değerine sıfır yazarak E0 ve E1 portlarından gönderir. 2.nci anahtar E1 portundan Kök anahtara bağlı olduğu için bu hattın kök değerini 100 (1000/10Mbps) olarak hesaplar. Kök anahtardan aldığı CBPDU mesajının kök değeri alanına 100 ekleyerek E0 portundan Anahtar 3’e gönderir. Aynı şekilde 4.ncü anahtar da Kök anahtardan CBPDU mesajını E0 portundan alır. E0 portunun bağlı olduğu hattın kök değeri 10 (1000/100Mbps) olarak hesaplanır. Kök anahtardan aldığı CBPDU mesajının kök değeri alanına 10 ekleyerek E1 portundan Anahtar 3’e gönderir. 3.ncü anahtar ise CBPDU mesajını hem Anahtar 4 hem de Anahtar 2’den alır. Anahtar 4 üzerinden kök değeri 10+10=20 olarak hesaplanır. Anahtar 2 üzerinden kök değeri ise 100+100=200 olarak hesaplanır. Buna göre Anahtar 3 ise kök değeri olarak en küçük değeri kabul eder. Ayrıca Anahtar 2 ve 4, Anahtar 3 üzerinden de CBPDU mesajı alır. Fakat aldıkları CBPDU mesajlarının içinde yazan kök değeri daha fazla olacağından dikkate almazlar. (Anahtar 2 için 100+10+10=120, Anahtar 4 için 10+100+100=210) Her cihaz, kök değerinin en küçük olduğu hattı belirler. Bu hatta bağlı olan portu kök port olarak seçer ve gönderme durumuna getirir. Buna göre 2.nci köprünün E1, 3.ncü köprünün E0 ve 4.ncü köprünün E0 portları kök port olarak konfigüre edilir. Kök portlar gönderme durumuna dönüştürülerek sadece data göndermesine izin verilir. Atanmış Portları (Designated port) seçme: Son adımda ise kök port olmayan diğer portların blok ya da gönderme durumlarından hangisine dönüştürüleceğine karar verilmektedir. Cihazlar arasındaki segmentleri inceleyelim. Daha önce de bahsedildiği gibi kök köprünün bütün portları ve diğer köprülerin kök portları gönderme (forwarding) durumuna getirilmişti. Gönderme durumuna dönüştürülmeyen portların hangi duruma dönüştürüleceğine karar vereceğiz. 1.nci ve 2.nci anahtar arasındaki segmenti inceleyelim. 1.nci anahtarın E0 portu kök köprünün portu olduğu için, 2.nci anahtarın E1 portu kök port olduğu için gönderme modundadır. 2.nci ve 3.ncü anahtar arasındaki segmenti inceleyelim. 2.nci anahtarın E0 portunun kök değeri 100; 3.ncü anahtarın E1 portunun kök değeri 200’dür. Bu iki porttan en küçük kök değerli olan port atanmış port (designated) olur. Yani 2.nci anahtarın E0 portu atanmış port olur ve gönderme (forwarding) durumuna getirilir. Segmentteki diğer port (3.ncü

101

anahtarın E1 portu) blok durumuna getirilir. 1.nci anahtar ile 4.ncü anahtarı inceleyelim. 1.nci anahtarın E1 portu kök köprünün portu olduğu için, 4.ncü anahtarın E0 portu kök port olduğu için gönderme (forwarding) modundadır. 3.ncü ve 4.ncü anahtar arasındaki segmenti inceleyelim. 3.ncü anahtarın E0 portu kök portu olduğu için gönderme (forwarding) modundadır. Segmentteki diğer port da (4.ncü anahtarın E1 portu) atanmış port (designated) olur ve gönderme (forwarding) moduna dönüştürülür. ANAHTAR

ARAYÜZ

DURUM

NEDENİ

Anahtar 1

E0

Gönderme

Kök köprünün portu

Anahtar 1

E1

Gönderme

Kök köprünün portu

Anahtar 2

E0

Gönderme

Atanmış port

Anahtar 2

E1

Gönderme

Kök port

Anahtar 3

E0

Gönderme

Kök port

Anahtar 3

E1

Blok

Kök köprü, kök port ve atanmış port olmadığı için

Anahtar 4

E0

Gönderme

Kök port

Anahtar 4

E1

Gönderme

Atanmış port

Tablo 6.1 (Kök ve atanmış port belirlenmesi) 6.3.3. Ağ Topolojisindeki Değişiklikler Kök köprünün ürettiği CBPDU mesajlarında 3 zamanlama alanı vardır. Bunlar; • • •

Merhaba Zamanı (Hello Time): Periyodik CBPDU mesajlarını göndermek için geçmesi gereken süredir. Maksimum Yaş (MaxAge): Herhangi bir köprünün ağ topolojinin değiştiğine karar vermesi için geçmesi gereken süredir. Gönderme Gecikmesi (Forward Delay): Blok durumundan gönderme durumuna dönüştürülürken geçmesi gereken süredir.

Ağda herhangi bir anormal durum olmadığı zaman kök köprü, kök değeri sıfır olan CBPDU mesajlarını bütün portlarından gönderir. Diğer bütün köprüler aldıkları bu mesajlara kendi kök değerlerini ekleyerek diğer portlardan gönderirler. Bu işlem bütün köprüler tarafından tekrarlanır. Ayrıca kök köprü de bu mesajları Merhaba Zamanı alanındaki süre aralığıyla tekrarlar. Bu süre öngörüldüğü şekliyle 2 saniyedir fakat değiştirilebilir. Periyodik CBPDU mesajlarını almayan köprüler MaxAge zamanını çalıştırırlar. Bu süre içinde yeni CBPDU mesajlarının gelmesini beklerler. Bu zaman bittiğinde bütün köprüler en baştaki gibi kendilerini kök köprü olarak tanıtan CBPDU mesajlarını gönderirler. Bu da yeni bir uzatılmış ağaç topolojisini oluşturma sürecini başlatır. Bu süreç sadece kök portlarından MaxAge zamanı içinde periyodik CBPDU mesajları alınmadığı zaman işlemektedir. Ağdaki köprü normal şekilde çalışırken bağlantılarında bir problem oluştuğu zaman köprü yine de periyodik CBPDU mesajlarını alacaktır. Şekil 6.9’da görüldüğü gibi 3 ve 4.ncü anahtar arasındaki bağlantıda veya 3.ncü anahtarın E0 portunda bir problem oluştuğu zaman 3.ncü anahtar CBPDU mesajlarını E0 portundan değil E1 portundan alabilecektir. Problem oluşmasından hemen öncesine kadar 3.ncü anahtarın E0 portu kök port olduğu için gönderme modunda idi. Fakat E0 portunun bağlı olduğu hatta problem oluşunca anahtar E1 portunun 2.nci anahtar üzerinden kök köprüye olan kök değerini en küçük değer olarak görecektir.3.ncü anahtarın E1 portu kök port olur ve blok modundan gönderme moduna dönüştürülür. 2.nci

102

anahtarın E0 portu yine atanmış (designated) port olarak kalır. 4.ncü anahtarın kök portu E0 olduğu için herhangi bir değişiklik olmaz. Böylelikle yeni bir döngüsüz STP topolojisi oluşturulmuş olur. Fakat ağda yedekli bir yapı artık yoktur. KÖK KÖPRÜ (ANAHTAR) Anahtar 1 E0 Kök Değeri=0 F F E1

E0 F Kök Değeri=10

Anahtar 2 E1 F

F

F

E1 F

Kök Değeri=100

E0

Anahtar 4

E0

E1 B Kök Değeri=20 Anahtar 3

B= Blok Durumunda F=Gönderme Durumunda

Şekil 6.9 (STP Topolojideki değişiklikler) Diğer bütün anahtarlar CBPDU mesajlarını kendi kök portlarından aldıkları için işlevlerini sürdüreceklerdir. Yeni STP topolojisi oluşturulurken aşağıdaki kural çalışmaktadır. KURAL: Uzatılmış Ağaç topolojisindeki herhangi bir değişiklik en az bir köprü arayüzünün blok durumundan gönderme durumuna değişmesini gerektirir. Bunun tersi de doğrudur. Bu değişikliklerin bütün köprülere bildirilmesi gerekmektedir. 3.ncü anahtar, topolojinin değiştiğine dair bilgiyi kök köprüye gönderir. Bu bilgiyi alan kök köprü, ürettiği yeni CBPDU mesajlarındaki bayrak alanına topoloji değiştiğine (topology change flag) dair bilgi ekler. 6.4. SANAL LOKAL AĞLAR (Virtual LANs) Sanal Lokal Ağ, bir veya birden fazla anahtarlarla oluşturulan bir broadcast etki alanıdır. Bilgisayarların fiziksel lokasyonlarına bağlı olmaksızın fonksiyon, departman veya kullandıkları uygulamalara göre mantıksal olarak gruplandırılarak oluşturulan ağdır. Şekil 6.10’da görüldüğü gibi farklı katlarda bulunan fakat ortak bir fonksiyona sahip veya aynı sunucuları kullanması gereken kullanıcıları gruplandırmak ve ağ performansını artırmak için sanal lokal ağlar kullanılmaktadır. Şekil 6.10’daki ağda broadcast iletişim kurulmak istendiğinde anahtarlar bütün portlardan broadcast yayacaklardır. Bu broadcast yayınlarının etki alanını küçültmek ve oluşturulan yeni etki alanlardaki broadcast yayınların diğer etki alanlarını etkilememesi için sanal lokal ağlar oluşturulur. Her bir VLAN kendi uzatılmış ağaç topolojisini de (STP) oluşturmaktadır. Şekil 6.10’da oluşturulan Pazarlama, Mühendislik ve Yönetim sanal lokal ağları, 3 farklı broadcast etki alanı oluşturmaktadır. Böylece bu sanal ağlar arasında broadcast yayın yapılamayacaktır. Sanal lokal ağların konfigürasyonu yazılım ile gerçekleştirilir. Yazılım, kullanılan anahtara göre değişiklik gösterir.

103

Pazarlama

Mühendislik

Yönetim

Şekil 6.10 (Sanal Lokal Ağ) VLAN teknolojisini kullanmaksızın lokal ağda segmentasyon, bilgisayarların bulunduğu lokasyona bağlı olarak yapılabilmektedir. Fakat VLAN teknolojisi ile bu zorunluluk ortadan kalkmaktadır. Şekil 6.11’de görüldüğü gibi klasik segmentasyonda sadece aynı lokasyonda bulunanları tek bir segmentte birleştirerek broadcast etki alanı oluşturulabilmektedir. Fakat VLAN teknolojisi ile farklı lokasyonlarda bulunan bilgisayarlar tek bir broadcast etki alanında birleştirilebilmektedir. VLAN Segmentasyonu

Klasik LAN Segmentasyonu HUB 4.Kat LAN 1 HUB 3.Kat LAN 2 HUB 2.Kat LAN 3 HUB

1.Kat

LAN 4 VLAN 1

Yönlendirici

Yönlendirici

Şekil 6.11 (Fiziksel ve Sanal Segmentasyon)

104

VLAN 2

VLAN 3

3 broadcast etki alanı bulunduran iki farklı ağ inceleyelim. Şekil 6.12’de görüldüğü gibi 3 ayrı huba bağlı 3 broadcast etki alanı vardır. Yönlendirici bu etki alanlar arasında broadcast yayının geçmesini önlemektedir. Her bir etki alanı için ayrı 3.ncü katman adres gruplarına ihtiyaç duyulur. Bu etki alanları arasında yönlendirme yapılabilmesi için mutlaka yönlendiricinin de bulunması gerekmektedir. PC1, PC2 ile iletişim kurduğunda paketlerin yönlendiriciye gönderilmesine gerek duyulmaz.Anahtar MAC adres tablosuna bakarak PC2’nin bağlı olduğu porttan iletişim kurulmasını sağlar. Ayrıca herhangi bir segmentten broadcast paketi gönderilirse, bu paket yönlendiriciyi geçemez ve sadece bulunduğu segmentte yayınlanır. Segmentler arası iletişim yönlendirici üzerinden olmak zorundadır. PC 1

PC 2

E0

PC 3 E1

E2

PC 4

Şekil 6.12 (Segmentasyon) Şekil 6.13’de görüldüğü gibi yukarıdaki örneğin tersine tek bir anahtar ile 3 farklı broadcast etki alanı oluşturulmuştur. Her bir IP subnet farklı bir Sanal Lokal Ağ (VLAN) oluşturmaktadır. Anahtar, her bir VLAN için ayrı MAC adres tablosu oluşturur. PC1, PC2 ile iletişim kurmak istediğinde anahtar PC1’in bulunduğu VLAN’e ait MAC adres tablosunu inceleyerek ilgili porttan iletişim kurmasını sağlar. PC1, farklı broadcast etki alanındaki bir bilgisayarla (Örneğin;PC3) iletişim kurmak istediğinde anahtar öncelikle PC1’in bulunduğu VLAN’in MAC adres tablosunu inceler. İletişim kurulmak istenen bilgisayarın MAC adresi bulunamayacağı için paket yönlendiriciye gönderilir. Yönlendirici de paketin hedef IP adresini kendi yönlendirme tablosunda araştırarak ilgili portu (E1) ile iletişim kurulmasını sağlar. Anahtar, PC3’ün bulunduğu VLAN’e ait MAC adres tablosunu inceler. PC3’ün bağlı olduğu port MAC adres tablosundan öğrenilerek gönderilir. Eğer anahtara herhangi bir VLAN’den bir broadcast paketi gelirse diğer VLAN’lere aktarılmadan sadece O VLAN’deki bilgisayarlara gönderilir. Böylece diğer sanal lokal ağların trafiği gereksiz yere meşgul edilmez.

105

PC 1 10.1.1.0/24 IPX Network 1 PC 2

E0

PC 3

10.1.2.0/24 IPX Network 2

E1 E2

PC 4

10.1.3.0/24 IPX Network 3

Şekil 6.13 (Segmentasyon) Sanal lokal ağlarda bilgisayarların kolayca taşınması, yeni bilgisayarın eklenmesi ve değiştirilmesine izin verilir. Örneğin; PC1’in başka bir yere taşındığını düşünelim. Aynı sanal lokal ağda tutabilmek için 3.ncü katman adresi de dahil olmak üzere herhangi bir değişikliğe gerek yoktur. Sadece PC1’in bağlanacağı portun ilgili sanal ağa dahil edilmesi yeterlidir. Kullanılan cihazlara bağlı olarak oluşturulabilecek VLAN sayısı değişmektedir. VLAN, 1 ile 1001 arasında tanımlanmaktadır. 6.4.1. Sanal Lokal Ağ Uygulama Çeşitleri Sanal Lokal Ağ, anahtarlanmış bir ağı kullanıcıların fiziksel konumlarına bağlı kalmaksızın fonksiyon, departman, proje grupları ve kullandıkları uygulamalara göre mantıksal olarak bölmektir. Anahtarın her bir portu farklı VLAN’e dahil edilerek dahil olmadıkları VLAN’deki broadcast iletişimi almazlar. Bu da ağın toplam performansını ciddi oranda artırmaktadır. Bir anahtarın portu 3 farklı şekilde VLAN’e atanabilir. Bunlar; • •

Statik (Static) Dinamik (Dynamic)

Statik VLAN: Öncelikle VLAN’ler oluşturularak isimler verilir. Anahtara bağlı olan hostlar Sanal Lokal Ağ oluşturma stratejinize bağlı olarak istenilen VLAN’e atanır. Anahtarı konfigüre ederken CLI’da bilgisayarın bağlı olduğu arayüz moduna geçilir ve vlan-membership komutu ile bu arayüz istenilen VLAN’e katılır. Dinamik VLAN: Bir anahtar portunun otomatik olarak VLAN’e atanmasıdır. Bu atama işlemi, bu porta bağlanan bilgisayarın MAC adresine, mantıksal adresine ve gönderdiği data paketinin protokol tipine bağlı olarak gerçekleştirilir. Bir bilgisayar herhangi bir VLAN’e atanmamış bir porttan bağlantı kurduğu zaman, anahtar VLAN yönetim veritabanını inceleyerek gerekli VLAN konfigürasyonunu yapmaktadır. 6.4.2. Frame Etiketleme (Frame Tagging) Tek bir anahtarın fakat bir çok Sanal Lokal Ağın bulunduğu bir ağda VLAN’ler arası iletişim çok karmaşık değildir. Data paketini alan anahtar, hedef bilgisayar aynı VLAN içerisinde ise o VLAN’in MAC Adres tablosunu inceleyerek hedef bilgisayarın bağlı olduğu porttan; eğer broadcast yapılması gereken bir paket ise sadece o VLAN içerisinde broadcast yaparak iletişim

106

gerçekleştirilir. Eğer data paketi yine aynı anahtar üzerindeki farklı VLAN’e gönderilmesi gerekiyorsa anahtara bağlı yönlendirici üzerinden iletişim gerçekleştirilir. Birden fazla anahtarın ve birden fazla Sanal Lokal Ağın bulunduğu bir ağda VLAN’ler arası iletişim biraz karmaşıktır. Şekil 6.14’de görünen ağı inceleyelim. Birinci anahtardaki VLAN1’de bulunan PC1, ikinci anahtardaki VLAN1’de bulunan PC7 ile iletişim kurmak istediğini varsayalım. PC1, PC7’ye data gönderdiğini düşündüğümüzde iletişim şu şekilde gerçekleşir. 1. PC1, datayı frame yapıya dönüştürür ve hedef adres olarak PC7’nin adresi olan 0100.7777.7777 yazar. 2. 1.nci anahtar bu datayı E1 portundan alır. 3. 1.nci anahtar, PC1 VLAN1’de olduğu için VLAN1’e ait MAC adres tablosunu inceler. 4. 1.nci anahtar PC7’nin direkt olarak kendisine bağlı olmadığını anlar ve E7 portundan datayı gönderir. 5. 2.nci anahtar bu datayı E6 portundan alır. Bu aşamada 2.nci anahtar aldığı bu datayı 3 farklı şekilde yorumlayabilir. • • •

E6 portunu PC7 ile aynı VLAN’de kabul eder ve VLAN1’e ait MAC adres tablosunu inceleyerek ilgili porttan datayı gönderir. E6 portunu hiç bir VLAN’e atanmadığını kabul eder ve bütün VLAN’lerin MAC adres tablolarını inceler ve ilgili porttan datayı gönderir. 1.nci anahtar 4.ncü adımda datayı E7 portundan göndermeden önce PC1’in içinde bulunduğu VLAN1’i tanımlayan bir başlık ekler ve gönderir. 2.nci anahtar da datayı aldığı zaman bu başlığı okuyarak datanın hangi VLAN’e gitmesi gerektiğini anlayarak o VLAN’e ait MAC adres tablosunu inceleyip ilgili porttan gönderir.

VLAN 1 0100.1111.1111 0100.0000.0001

E1 E7

Anahtar 1

E1

PC 1

E2

VLAN 1

E3 E4 VLAN 2 0100. 5555.5555 0100.0000.0001

E5

E5 E7

E6

PC 5 VLAN 2

E7 E6

E1 E2

PC 7

VLAN 1

E3 E4 E5

VLAN 2 PC 11

Yönlendirici Anahtar 2 VLAN 1 0100.7777.7777 0100.0000.0002

VLAN 2 0100. 1111.1115 0100.0000.0002

E1 E6

107

E5 E6

Şekil 6.14 (Frame Etiketleme) Yukarıda belirtilen 3 farklı alternatiften en doğrusu 3.ncü seçenektir. İlk seçenek çok anahtarlı fakat tek VLAN ortamında kullanılabilecek bir alternatiftir. Fakat bu seçenek birden fazla VLAN’in olduğu durumlarda çözüm üretemeyecektir. İkinci seçenek ise iletişimlerin unicast olduğu zaman problemsiz çalışacaktır. Çünkü unicast iletişimde datanın tek bir gideceği yer olacak ve bütün MAC adres tablolar incelendikten sonra tek bir porttan data gönderilecektir. Fakat iletişim broadcast ise gönderilen data, broadcast olarak bütün VLAN’lere gönderilecektir. Bu da ağa ciddi bir yük getirecektir. Ayrıca VLAN teknolojisinin kullanılmasının bir anlamı kalmayacaktır. Son seçenek çoklu anahtar ve çoklu VLAN ortamında kullanılabilecek tek yoldur. 1.nci anahtarın datayı E7 portundan göndermeden önce VLAN1’i tanımlayan başlık koymasına frame etiketleme (frame tagging) denir. ISL (Inter-Switch Link) frame etiketleme opsiyonlarından biridir. Şekil 6.15’de ISL başlığında bulunan alanlar görülmektedir. Okuyucu, bu alanların hepsini bilmek zorunda değildir. Burada 2 önemli noktayı vurgulayacağız. İlk nokta ISL başlığının Data-Link katmanında gönderilecek data kapsüllendikten sonra eklenmesidir. İkinci nokta ise ISL başlığı içindeki VLAN alanı datanın içinde bulunduğu VLAN’i tanımlamaktadır. Ayrıca kaynak adres kısmı datayı gönderen anahtarın gönderdiği arayüzüne aittir. ISL Başlığı (26 byte)

Hedef Adres

Tip

Kullanıcı

Kapsüllenmiş Ethernet Frame

CRC (4 byte)

Kaynak LEN AAAA03 HSA VLAN CBPDU Adres Şekil 6.15 (ISL Frame Etiketleme)

INDEKS

RES

Her VLAN farklı IP subnetleri kullandığı için VLAN’ler arası iletişimi yönlendiriciler sağlamaktadır. Tek anahtarlı veya çok anahtarlı fakat çoklu-VLAN ortamında frame etiketleme ağda kullanılan yönlendirici için gereksinim duyulan ara yüz sayısını azaltmaktadır. Aksi halde her VLAN için ayrı bir arayüze ihtiyaç duyulacaktır. Şekil 6.13’de görüldüğü gibi 3 VLAN için yönlendirici de 3 arayüze gerek duyulmuştur. Şekil 6.14’de görüldüğü gibi 2.nci anahtara bağlanmış olan yönlendirici her iki anahtardan da gelecek VLAN1 ve VLAN2’ye ait olan data paketlerini yönlendirebilir. Yönlendirici aldığı data üzerindeki ISL başlığını çıkartıp datanın gitmesi gereken subneti yönlendirme tablosundan bulur ve ilgili VLAN’e göndermek üzere datayı aynı porttan geri gönderir. Fakat göndermeden önce ilgili ISL başlığını tekrar kapsüllenmiş datanın üzerine giydirir. Istanbul(config)#interface ethernet 0.1 Istanbul(config-if)#ip address 10.1.1.1 255.255.255.0 Istanbul(config-if)#encapsulation isl 1 ! Istanbul(config)#interface ethernet 0.2 Istanbul(config-if)#ip address 10.1.2.1 255.255.255.0 Istanbul(config-if)#encapsulation isl 2 ! Istanbul(config)#interface ethernet 0.3 Istanbul(config-if)#ip address 10.1.3.1 255.255.255.0 Istanbul(config-if)#encapsulation isl 3

108

Birden fazla VLAN arasında yönlendirmeyi tek bir arayüz ile yapmak için yönlendirici de gerekli olan konfigürasyonu yukarıda göreceksiniz. Tek bir Ethernet arayüzünde alt ara yüzler (sub-interface) oluşturulmuştur. Her bir ara yüz için farklı subnetler tanımlanmıştır. Son olarak da her bir subnet için ISL frame etiketlemesi encapsulation komutu ile tanımlanmıştır. Bu komutta bulunan sayılar VLAN numarasını göstermektedir. Bu VLAN’lerin daha önceden tanımlanmış olması zorunludur. Tablo 6.2’de görülmektedir.

farklı

teknolojiler

için

kullanılan

diğer

frame

ETİKETLEME METODU

AĞ ORTAMI

Inter-Switch Link (ISL)

Fast Ethernet

802.1Q

Fast Ethernet

802.10

FDDI

LAN Emulation (LANE)

ATM

etiketleme

teknikleri

Tablo 6.2 (Frame Etiketleme Protokolleri) 6.5. ANAHTAR KONFİGÜRASYONU Cisco anahtarlarda yönlendiricilerde bulunan Cisco IOS işletim sistemi bulunmamaktadır. Fakat yönlendiricilerde kullanılan CLI komut satırı aynen anahtarlarda da kullanılmaktadır. Yeni nesil çoklu katman anahtarlar, 3.ncü katman mantıksal adres yönlendirmesi yaptığı için bu ürünlerde Cisco IOS bulunmaktadır. Bu kısımda yönlendiricilerde ve anahtarlarda (2.nci katman anahtarlar) kullanılan benzer ve farklı komutları inceleyeceğiz. Anahtarlardaki fiziksel konnektörler bazen port bazen interface olarak adlandırılmaktadır. show running-config komutunda bu fiziksel konnektörler interface olarak, show spantree komutunda port olarak adlandırıldığını aşağıda görebileceksiniz. 6.5.1. Temel IP Konfigürasyonu Anahtarlarda IP konfigürasyonu yönlendiricilerden daha farklı bir amaçla yapılmaktadır. Yönlendiricilerin her bir portu direkt olarak bağlı olduğu subnetten bir IP almak zorundadır. Anahtarlarda ise ağdaki herhangi bir bilgisayar gibi IP ve öngörülen ağ çıkış kapısı konfigürasyonu yapılmaktadır. Anahtarların her bir portuna IP konfigürasyonu yapılmasına gerek yoktur. Anahtarlarda IP konfigürasyonu uzaktan yönetim amaçlı kullanılmaktadır. Bahsedilen anahtar 2.nci katman anahtarı olduğu unutulmamalıdır. Çoklu katman anahtarlar, 3.ncü katman mantıksal adreslere göre yönlendirme yapabildiği için yönlendirici gibi anahtara bağlı bütün subnetlerden bir adet IP adresi konfigüre edilir. Fakat bu IP adresleri portlarla ilişkilendirilmezler. Çoklu katman anahtarlara mutlaka IP konfigürasyonu yapılmalıdır. Fakat 2.nci katman anahtarlar için uzaktan yönetim gerekli değilse IP konfigürasyonunun yapılmasına gerek yoktur. Aşağıdaki örnekte show ip komutu ile IP adresinin anahtarın portlarına değil cihazın kendisine atandığını göreceksiniz. Istanbul#show ip IP address: 10.5.5.11 Subnet mask: 255.255.255.0 Default gateway: 10.5.5.3 Management VLAN: 1 Domain name: Name server 1: 0.0.0.0

109

Name server 2: 0.0.0.0 HTTP server: Enabled HTTP port: 80 RIP: Enabled Ayrıca aşağıdaki örnekte anahtara IP adresinin nasıl konfigüre edildiği görülmektedir. Istanbul# configure terminal Istanbul(config)#ip address 10.5.5.11 255.255.255.0 Istanbul(config)#ip default-gateway 10.5.5.3 Istanbul(config)# interface e0/1 Istanbul(config-if)#duplex half Istanbul(config-if)#end Istanbul# Anahtarların portlarının dupleks modları önemli bir konudur. Anahtarın portlarına aşağıdaki modlardan biri atanabilir. • • • •

auto: Autonegotiation moddur. 100 Mbps portunun öngörülen opsiyonudur. full: Tam dupleks moddur. full-flow-control: Flow kontrollü tam dupleks modudur. half: Half dupleks moddur. 10 Mbps portunun öngörülen opsiyonudur.

Autonegotiation modu bazen problem olabilmektedir. Anahtara bağlanan bilgisayar bu moda uyumlu olmadığı zaman anahtar, bilgisayarın bağlı olduğu portu half dupleks yapacaktır. Eğer bilgisayar, tam dupleks modunda ise anahtarda geç çarpışma hataları (late collision errors) oluşacaktır. Autonegotiation modunu desteklemeyen cihazların olduğu durumlarda manual olarak konfigürasyonun yapılması tercih edilmelidir. Istanbul#show interfaces Ethernet 0/1 is Enabled Hardware is Built-in 10Base-T Address is 0090.8673.3341 MTU 1500 bytes, BW 10000 Kbits 802.1d STP State: Forwarding Port monitoring: Disabled Unknown unicast flooding: Enabled Unregistered multicast flooding: Enabled Description: Duplex setting: Half duplex Back pressure: Disabled Receive Statistics ----------------------------------------Total good frames 44841 Total octets 4944550 Broadcast/multicast frames 31011 Broadcast/multicast octets 3865029 Good frames forwarded 44832 Frames filtered 9 Runt frames 0 No buffer discards 0

Forward Transitions: 1

Transmit Statistics ------------------------------------------Total frames 404502 Total octets 29591574 Broadcast/multicast frames 390913 Broadcast/multicast octets 28478154 Deferrals 0 Single collisions 0 Multiple collisions 0 Excessive collisions 0

110

Errors: FCS errors Alignment errors Giant frames Address violations

0 0 0 0

Queue full discards Errors: Late collisions Excessive deferrals Jabber errors Other transmit errors

0 0 0 0 0

6.5.2. MAC Adres Tablosu Anahtar ve köprülerde bulunan MAC adres tablosuna 3 farklı çeşit adres girilebilir. Bunlar; • Dinamik Adres (Dynamic Address): Anahtar ve köprü, normal işlevlerini yaparken aldıkları data paketlerinden datayı gönderen bilgisayarın MAC adresini öğrenip bu adresi aldıkları port ile ilişkilendirerek MAC adres tablosuna kayıt etmektedir. Tablodaki bu kayıtlar kullanılmadığı zaman veya tablo temizlendiğinde silinir. • Sürekli Adres (Permanent Address): Bir bilgisayarın MAC adresi, bağlı olduğu anahtarın portuyla ilişkilendirilerek manual olarak girilebilir. Bu tür kayıtlar yine manual olarak silinerek kaldırılabilir. • Sınırlı Statik Adresler (Restricted-Static Entries): Ağdaki bir bilgisayara ulaşmaya çalışan kişilere belli kısıtlar verilerek bağlı olduğu portla ilişkilendirilen adreslerdir. Ancak manual olarak silinebilirler.

A

E0/1

0100.0000.0001

E0/2

B

E0/3

0100.0000.0002

E0/4

Şekil 6.16 (MAC Adres Tablosu) Şekil 6.16’da görülen B bilgisayarında önemli bilgiler olduğunu ve sadece A bilgisayarının girme izninin olması gerektiğini varsayalım. Bunun için anahtarda yapılması gereken konfigürasyon aşağıdaki gibi olmalıdır. Istanbul(config)#mac-address-table restricted static 0100.0000.0002 e0/3 e0/1 Istanbul(config)#mac-address-table permanent 0100.0000.0004 e0/4 Istanbul#show mac-address-table Number of permanent addresses : 1 Number of restricted static addresses : 1 Number of dynamic addresses : 4 Address Dest Interface Type Source Interface List --------------------------------------------------------------------------------------------------111

0100.0000.0001 00E0.1E5D.AE2F 0100.0000.0002 0100.0000.0004 00D0.588F.B604 00D0.5892.38C4

Ethernet 0/1 Ethernet 0/2 Ethernet 0/3 Ethernet 0/4 FastEthernet 0/26 FastEthernet 0/27

Dynamic Dynamic Static Permanent Dynamic Dynamic

All All All Et0/1 All All

MAC adres tablosunu etkileyen komutlardan bir diğeri de port secure komutudur. Bu komut ile anahtardaki herhangi bir portla ilişkilendirilebilecek MAC adres sayısı sınırlanabilmektedir. Yani anahtar, bu komutta belirtilen porttan belirtildiği kadar adresten data almaktadır. Eğer port secure komutu ile belirtilen sınır geçilirse address-violation komutu ile anahtarda güvenlik önlemi alınabilir. Portun trafiğini belli bir süre askıya alma (suspend), gelen datayı ihmal etme (ignore) ve portu kapama (disable) gibi 3 farklı önlem alınabilir. Komutun formatı şu şekildedir. address-violation {suspend|ignore|disable} Şekil 6.17’de görüldüğü gibi anahtarın E0/1 portuna bir hub ve hub’a bağlı 3 bilgisayar bulunmaktadır. Sadece bu bilgisayarların B bilgisayarına ulaşma izni verilmesi gereken durumda aşağıdaki konfigürasyon yapılmalıdır. 0100.0000.0004

D

0100.0000.0001

A E0/1

C E0/2

0100.0000.0003

B

E0/3

0100.0000.0002

E0/4

Şekil 6.17 (MAC Adres Tablosu) Örnekte port secure arayüz komutu ile E0/1 portu en fazla 3 farklı bilgisayardan data alabilecektir. Konfigürasyonda A bilgisayarı sürekli MAC adresi olarak MAC adres tablosuna kaydedildiği için en fazla 2 yeni bilgisayar dinamik olarak MAC adres tablosuna kaydedilebilir. C ve D bilgisayarlarının MAC adresleri kaydedildikten sonra herhangi birinin bu bilgisayarların kullandığı ağ kablosu ile anahtara bağlanmaya çalıştığında anahtar bu yeni adresi MAC adres tablosuna kaydetmeyecek ve address violation komutu ile belirlenen aksiyon gerçekleştirilecektir. Istanbul(config)#mac-address-table permanent 0100.0000.0005 ethernet 0/4 Istanbul(config)#mac-address-table permanent 0100.0000.0001 ethernet 0/1 Istanbul(config)#mac-address-table restricted static 0100.0000.0002 e0/3 e0/1 Istanbul(config)#interface ethernet 0/1 Istanbul(config-if)#port secure max-mac-count 3 Istanbul(config-if)#address-violation suspend

112

Istanbul(config-if)#end Istanbul#show mac-address-table Number of permanent addresses : 1 Number of restricted static addresses : 1 Number of dynamic addresses : 5 Address Dest Interface Type SourceInterface List --------------------------------------------------------------------------------------------------0100.0000.0001 Ethernet 0/1 Permanent All 0100.0000.0003 Ethernet 0/1 Dynamic All 0100.0000.0004 Ethernet 0/1 Dynamic All 00E0.1E5D.AE2F Ethernet 0/2 Dynamic All 0100.0000.0002 Ethernet 0/3 Static All 00D0.588F.B604 FastEthernet 0/26 Dynamic All 00D0.5892.38C4 FastEthernet 0/27 Dynamic All Istanbul#show mac-address-table security Action upon address violation : Suspend Interface Addressing Security Address Table Size --------------------------------------------------------------------------------------------------Ethernet 0/1 Enabled 3 Ethernet 0/2 Disabled N/A Ethernet 0/3 Disabled N/A Ethernet 0/4 Disabled N/A Ethernet 0/5 Disabled N/A Ethernet 0/6 Disabled N/A Ethernet 0/7 Disabled N/A Ethernet 0/8 Disabled N/A Ethernet 0/9 Disabled N/A Ethernet 0/10 Disabled N/A Ethernet 0/11 Disabled N/A Ethernet 0/12 Disabled N/A 6.5.3. Dosya Yönetimi Anahtarlar, yönlendiricilerde olduğu gibi Cisco IOS işletim sistemini kullanmadıklarından dolayı komut satırında da bazı farklılıklar vardır. Anahtarın konfigürasyonunda yapılan herhangi bir değişiklik RAM’deki mevcut konfigürasyonda kaydedilir. Bu kayıtın NVRAM’deki başlangıç konfigürasyonda da kaydedilmesi için yönlendiricilerde olduğu gibi copy running-config startup-config komutunu kullanmaya gerek yoktur. Anahtar, RAM’de yapılan bir değişikliği belli periyotlarla NVRAM’e otomatik olarak kaydeder. Anahtarda NVRAM’de tutulan konfigürasyon, komut satırında startup-config yerine nvram olarak kullanılır. Yönlendiricilerde yeni bir konfigürasyon dosyasını TFTP sunucudan kopyalamak için copy tftp startup-config komutu komut satırında kullanılmaktadır. Bu komuttan sonra IOS TFTP sunucunun IP adresi ve dosya adı sorulmaktadır. Fakat anahtarlarda aynı işlemi yapmak için copy tftp://10.5.1.2/myconfig.cfg nvram komutu kullanılmaktadır. Yönlendiricilerde de copy tftp://10.5.1.2/myrouter.cfg startup-config komutu kullanılabilmektedir.

113

6.5.4. Sanal Lokal Ağ Konfigürasyonu Oluşturulabilecek maksimum sanal lokal ağ sayısı anahtara bağlı olarak değişmektedir. Anahtarlarda öngörüldüğü şekliyle VLAN1 vardır. CDP ve VTP mesajları VLAN1 sanal ağında gönderilmektedir. Ayrıca anahtarın IP adresi VLAN1 broadcast etki alanındadır. Anahtarda yeni sanal ağlar oluşturmak veya silmek için anahtar, VTP sunucu mod olarak konfigüre edilmelidir. Daha önce VTP’den (VLAN Trunking Protocol) bahsedilmemişti. VTP, tek bir yönetim içerisinde bulunan anahtarlar arasında mevcut VLAN bilgilerinin alışverişinde kullanılan 2.nci katman mesajlaşma protokolüdür. Eklenen veya çıkartılan VLAN bilgileri anahtarlar arasında paylaşılarak ortak ve doğru konfigürasyon bilgileri tutulmaktadır. Bu konu gelecek bölümde detaylı bir şekilde ele alınacaktır. Sanal lokal ağ konfigürasyonunda kullanılan bazı temel konfigürasyon komutları tablo 6.3’de görülmektedir. KOMUT

AÇIKLAMA

vtp [server | transparent | client][domain domainname] [trap {enable | disable}] [password password] [pruning {enable |disable}]

VTP parametrelerini tanımlar.

delete vtp

Bütün VTP parametrelerini siler ve konfigürasyon revizyon numarasını 1 yapar.

vtp trunk pruning-disable vlan-list

VTP pruning özelliğini belli bir ara yüz için iptal eder.

show vtp

VTP statüsünü gösterir.

trunk [on | off | desirable | auto | nonegotiate]

trunk ara yüzü konfigüre edilebilir.

show trunk

trunk statüsünü gösterir.

vlan vlan# name vlanname

VLAN ve VLAN adı konfigüre edilir.

show vlan

VLAN bilgisini gösterir.

vlan-membership static vlan#

Portu bir VLAN’e atanır.

show vlan-membership

VLAN üyelik bilgilerini gösterir.

show spantree vlan#

Bir VLAN için Spanning Tree bilgilerini gösterir.

Tablo 6.3 (VLAN komutları) Şekil 6.18’de görüldüğü gibi tek bir anahtarın olduğu ağda gerekli olan VLAN konfigürasyonunu inceleyelim. Ağda tek bir anahtar olduğu için VLAN bilgilerinin başka bir anahtarla paylaşılmasına gerek yoktur. Yani anahtar şeffaf (transparent) modda olmalıdır.

114

Anahtar E0/1 E0/2 E0/3

VLAN 1

E0/4 E0/5 E0/6 E0/7

VLAN 2

E0/8 E0/9 E0/10

VLAN 3

E0/11

Şekil 6.18 (VLAN) VLAN konfigürasyonunda öncelikle anahtar şeffaf moda ayarlanır. Daha sonra VLAN numaraları ve isimleri oluşturulmalıdır. Son olarak da anahtarın her bir portu istenilen VLAN’e katılacaktır. anahtar(config)# vtp transparent domain Konya anahtar(config)# vlan 2 name VLAN2 anahtar(config)# vlan 3 name VLAN3 anahtar(config)# interface e 0/5 anahtar(config-if)# vlan-membership static 2 anahtar(config-if)# interface e 0/6 anahtar(config-if)# vlan-membership static 2 anahtar(config-if)# interface e 0/7 anahtar(config-if)# vlan-membership static 2 anahtar(config-if)# interface e 0/8 anahtar(config-if)# vlan-membership static 2 anahtar(config-if)# interface e 0/9 anahtar(config-if)# vlan-membership static 3 anahtar(config-if)# interface e 0/10 anahtar(config-if)# vlan-membership static 3 anahtar(config-if)# interface e 0/11 anahtar(config-if)# vlan-membership static 3 Yukarıdaki konfigürasyonda görüleceği gibi VLAN’e numara verildiği gibi kolay hatırlayabilmek için isim de verilmektedir. Fakat VLAN1 konfigüre edilmemektedir. Çünkü Cisco anahtarlar, bu sanal lokal ağı otomatik olarak VLAN1 adıyla oluştururlar. Herhangi bir VLAN’e katılmayan bütün portlar VLAN1’de kabul edilmektedir. Örneğimizdeki ağda tek bir anahtar olduğu için bu VTP etki alanının isimlendirilmesi önemsizdir. Fakat yine mutlaka VTP etki alanı oluşturulmalıdır. Örneğimizdeki VTP etki alanının adı Konya’dır. Anahtarda konfigüre edilmiş herhangi bir VLAN hakkında bilgi edinmek istediğinizde show vlan vlan numarası kullanılmaktadır.

115

Anahtar#sh vlan 3 VLAN Name Status Ports ------------------------------------------------------------------------------------------3 VLAN3 Enabled 9-11 ------------------------------------------------------------------------------------------VLAN Type

SAID

MTU

Parent RingNo BridgeNo

Stp

Trans1 Trans2

--------------------------------------------------------------------------------------------------3 Ethernet 100003 1500 0 1 1 Unkn 0 0 --------------------------------------------------------------------------------------------------Birden fazla anahtarın bulunduğu bir ağda anahtarlar arası VLAN bilgileri alışverişi mutlaka olmalıdır. Tabii ki VTP protokolü anahtarın uplink portlarında aktif olacaktır. Anahtar 2

Anahtar 1 E0/1 E0/2

E0/1 VLAN 1

E0/3

E0/2

E0/4

E0/3

E0/5

E0/4

VLAN 1

E0/6 VLAN 2

E0/7

E0/5

E0/8

E0/6

E0/9

E0/7

E0/10

VLAN 3

E0/8

E0/11

E0/27

VLAN 3

E0/9

E0/27

Şekil 6.19 (VTP Konfigürasyonu) Bu portlarda statik (ISL) veya dinamik ISL (DISL) kullanılabilmektedir. Dinamik ISL protokolü otomatik olarak ISL ayarlarını yönetir. Manual olarak VTP protokol ayarları trunk ara yüz komutuyla yapılmaktadır. Bu komut uplink ara yüzünde uygulanmalıdır. Anahtar(config-if)#trunk {on|off|desirable|auto|nonnegotiate} Komutta da belirtildiği gibi 5 farklı opsiyonu bulunmaktadır. Bunlar; • •

on: Ayarın yapıldığı portu sürekli olarak ISL trunk moduna çevirir ve bu porttan bağlı olan cihazla görüşerek bağlantıyı trunk moduna dönüştürür. off: Trunk modda bulunan porttan trunk modu iptal eder ve bağlı cihazla görüşerek bağlantının trunk modunu da pasif hale getirir.

116

• • •

desirable: Trunk modda olmayan bağlantıyı trunk moda çevirmek için portu tetikler. Mutlaka bağlı bulunan cihazın trunk modu on, desirable veya auto olmalıdır. Aksi durumda port trunk modda olmayacaktır. auto: Bağlı bulunan cihazın sadece on veya desirable olduğu durumlarda bağlantı trunk mod olarak konfigüre edilir. nonnegotiate: Port trunk mod olarak konfigüre edilir ve bağlı cihazla görüşülmez.

Daha önce de bahsedildiği gibi farklı anahtarlarda bulunan fakat aynı VLAN içerisindeki bilgisayarlar arasındaki iletişimin sağlanabilmesi için data paketlerinin etiketlenmesi (tagging) yanında bütün VLAN bilgilerinin ağdaki tüm anahtarlarda da olması gerekmektedir. Bunun için gerekli konfigürasyonlar aşağıdaki gibi yapılmaktadır. Anahtar(config)# interface fa 0/27 Anahtar(config-if)# trunk on Anahtar(config-if)# vlan-membership static 1 Anahtar(config-if)# vlan-membership static 2 Anahtar(config-if)# vlan-membership static 3 Anahtardaki trunk konfigürasyonunu görüntülemek için show komutu kullanılmaktadır. Anahtar(config)#show trunk Anahtar# show trunk DISL state: Off, Trunking: On, Encapsulation type: ISL Anahtar#show vlan-membership Port VLAN MembershipType Port VLAN MembershipType --------------------------------------------------------------------------------------------------1 1 Static 14 2 Static 2 1 Static 15 2 Static 3 1 Static 16 1 Static 4 1 Static 17 1 Static 5 2 Static 18 1 Static 6 2 Static 19 1 Static 7 2 Static 20 1 Static 8 2 Static 21 1 Static 9 3 Static 22 1 Static 10 3 Static 23 1 Static 11 3 Static 24 1 Static 12 1 Static AUI 1 Static 13 1 Static A 1-3 Static B 1-3 Static Anahtar# show spantree 1 VLAN1 is executing the IEEE compatible Spanning-Tree Protocol Bridge Identifier has priority 32768, address 0050.F037.DA00 Configured hello time 2, max age 20, forward delay 15 Current root has priority 0, address 00D0.588F.B600 Root port is FastEthernet 0/27, cost of root path is 10 Topology change flag not set, detected flag not set

117

Topology changes 53, last topology change occurred 0d00h17m14s ago Times: hold 1, topology change 8960 hello 2, max age 20, forward delay 15 Timers: hello 2, topology change 35, notification 2 Port Ethernet 0/1 of VLAN1 is Forwarding Port path cost 100, Port priority 128 Designated root has priority 0, address 00D0.588F.B600 Designated bridge has priority 32768, address 0050.F037.DA00 Designated port is Ethernet 0/1, path cost 10 Timers: message age 20, forward delay 15, hold 1 6.5.5. VLAN Trunking Protokol-VTP VTP, ortak yönetimin yapıldığı ağdaki aktif cihazların VLAN konfigürasyonunda tutarlılık sağlanabilmesi için kullanılan 2.nci katman mesajlaşma protokolüdür. VTP, çoklu anahtar ortamındaki VLAN eklenmesi, silinmesi ve isim değişikliğini yönetir. Ayrıca VTP, oluşabilecek yanlış konfigürasyonları veya isim tekrarlanması gibi hataları minimuma indirir. VTP, 2 farklı versiyona sahiptir. VTP versiyon 1, sadece Etherneti desteklerken, VTP versiyon 2 Ethernet ve Token Ring ağları desteklemektedir. Çoklu anahtar ağ ortamında tek bir VTP etki alanı oluşturulur ve bütün anahtarlar aynı etki alanında toplanır. Böylece bu etki alanındaki bütün anahtarlar VTP sunucu modundaki anahtar tarafından üretilen mesajlarla ağın VLAN konfigürasyonu hakkında bilgilendirilir. Bu mesajlar 5 dakikalık periyotlarla veya VLAN konfigürasyonunda bir değişiklik yapıldığında gönderilir. VTP mesajlarında VLAN isimleri ve numaraları, hangi anahtarın portları hangi VLAN’e atandığına dair bilgiler ve konfigürasyon revizyon numarası (configuration revision number) bulunmaktadır. VTP sunucu, yeni bir mesaj ürettiği zaman bir önceki revizyon numarasını bir artırarak mesajı etki alanındaki bütün anahtarlara gönderir. Mesajı alan her bir anahtar, yeni mesajın revizyon numarası ile daha önce almış olduğu mesajın revizyon numarasını karşılaştırır. Yeni mesajın revizyon numarası daha büyükse içindeki bilgileri alarak VLAN bilgilerini günceller. Anahtarlarda VTP 3 farklı modda çalışır. Bunlar; • • •

VTP sunucu mod (server mode) VTP istemci mod (client mode) VTP şeffaf mod (transparent mode)

VTP sunucu mod: VTP sunucuları, VLAN oluşturabilir, silebilir ve değiştirebilirler. Ayrıca bütün bir etki alanı için diğer bütün konfigürasyon parametrelerini değiştirebilirler. VTP sunucuları, VLAN konfigürasyon bilgilerini NVRAM’de saklarlar. VTP sunucuda VLAN konfigürasyonu ile ilgili yapılan bir değişiklik dinamik olarak bütün trunk bağlantılardan aynı VTP etki alanındaki bütün anahtarlara gönderilir. VTP istemci mod: VTP istemciler, VLAN oluşturamaz, silemez ve konfigürasyon bilgilerini değiştiremezler. Ayrıca VLAN konfigürasyon bilgilerini NVRAM’de saklayamazlar. VTP istemci, VLAN konfigürasyon bilgilerini RAM’de sakladığı için VTP sunucunun çalışmadığı durumlarda VLAN konfigürasyon bilgileri halen kullanılabilir olacaktır. Fakat VTP sunucunun çalışmadığı durumlarda VTP istemci anahtar kapanıp açılırsa RAM’deki bütün konfigürasyonu kaybedeceği için VLAN konfigürasyonları etkin olmayacaktır. VTP şeffaf mod: Bu moddaki anahtar, mevcut VTP etki alanının bir üyesi değildir. Bu moddaki anahtar, VTP mesajlarını VTP etki alanına üye diğer anahtarlara iletmektedir. Şeffaf moddaki 118

anahtarda yeni bir VLAN oluşturulabilir, silinebilir veya değişiklik yapılabilmektedir. Fakat bu değişiklikler mevcut etki alanına ait olmadığı için diğer anahtarlara iletilmez, sadece değişiklik yapılan anahtarı etkiler. Yapılan bütün değişiklikler NVRAM’de saklanır. 6.5.6. VTP Budama (VTP Pruning) Büyük ağlarda bazı anahtarlar, içinde bulundukları VTP etki alanında bulunan VLAN’lerden bir kısmına ait port barındırmamaktadırlar. Dolayısıyla bu VLAN’deki bir bilgisayarın broadcast iletişimi gereksiz yere diğer anahtarlara yayılmaktadır. Şekil 6.20’de görüldüğü gibi 1, 6 ve 7.nci anahtar haricinde, ağdaki diğer hiçbir anahtarda VLAN 5’e atanmış bilgisayar bulunmamaktadır. Genelde trunk linkleri bütün VLAN’lere üye olduğu için bütün broadcast yayınları taşımaktadır. Fakat VTP sunucu üzerinde VTP konfigürasyonu yapılırken VTP budama (pruning) aktifleştirildiğinde ilgili anahtarlar hariç diğer anahtarlara broadcast yayını yapılmayacaktır. Böylelikle ağ bant aralığı daha verimli kullanılacaktır. Anahtar 7

D Anahtar 6

Anahtar 5 Broadcast trafik budanır

C Anahtar 1

Anahtar 4

Anahtar 3

VLAN 5

Anahtar 2

A

B

Şekil 6.20 (VTP Budama) 6.5.7. VTP Konfigürasyonu Eğer anahtarda, VTP etki alanı adı verilmemişse kendini aldığı ilk VTP mesajındaki etki alanında kabul eder. Eğer herhangi bir ad verilmişse aldığı VTP mesajındaki etki alanı adını karşılaştırır, farklı bir etki alanı ise bu mesajı ihmal eder. VTP şifre konfigüre edilecekse mutlaka aynı etki alanındaki bütün anahtarlarda da aynı şifre konfigüre edilmelidir. Eğer ağdaki bütün anahtarlarda şifre konfigüre edilmezse veya farklı şifre verilirse VTP mesaj alışverişi gerçekleşmez. VTP sunucuda VTP budama aktifleştirilir veya aktifliği kaldırılırsa, bu bilgi bütün VTP etki alanındaki anahtarlara iletilir. VTP budama aktifleştirilmesi VLAN1’de geçerli değildir. Çünkü herhangi bir VLAN’e atanmayan bütün portlar bu sanal lokal ağdadır. Dolayısıyla VLAN1’de yayılan bütün broadcast iletişim ağdaki herbir anahtara gönderilir. Şekil 6.20’de görülen ağdaki iki anahtarın bütün VTP konfigürasyonu aşağıdaki gibidir. Anahtar1# configure terminal

119

Anahtar1(config)#ip address 10.5.5.11 255.255.255.0 Anahtar1(config)#ip default-gateway 10.5.5.3 Anahtar1(config)# vtp server domain Pazarlama Anahtar1(config)# vlan 2 name VLAN2 Anahtar1(config)# vlan 5 name VLAN5 Anahtar1(config)# interface e 0/5 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# interface e 0/6 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# interface e 0/7 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# interface e 0/8 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# interface e 0/9 Anahtar1(config-if)# vlan-membership static 5 Anahtar1(config-if)# interface e 0/10 Anahtar1(config-if)# vlan-membership static 5 Anahtar1(config-if)# interface e 0/11 Anahtar1(config-if)# vlan-membership static 5 Anahtar1(config-if)# interface e 0/12 Anahtar1(config-if)# vlan-membership static 5 Anahtar1(config)# interface fa 0/26 Anahtar1(config-if)# trunk on Anahtar1(config-if)# vlan-membership static 1 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# vlan-membership static 5 Anahtar1(config-if)# interface fa 0/27 Anahtar1(config-if)# trunk on Anahtar1(config-if)# vlan-membership static 1 Anahtar1(config-if)# vlan-membership static 2 Anahtar1(config-if)# vlan-membership static 5

Anahtar6# configure terminal Anahtar6(config)#ip address 10.5.5.12 255.255.255.0 Anahtar6(config)#ip default-gateway 10.5.5.3 Anahtar6(config)# vtp client pruning enable Anahtar6(config)# interface e 0/5 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/6 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/7 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/8 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/9 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/10 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/11 Anahtar6(config-if)# vlan-membership static 5 Anahtar6(config-if)# interface e 0/12

120

Anahtar6(config-if)# Anahtar6(config-if)# Anahtar6(config-if)# Anahtar6(config-if)# Anahtar6(config-if)#

vlan-membership static 5 interface fa 0/27 trunk on vlan-membership static 1 vlan-membership static 5

Yukarıdaki konfigürasyonda anlaşılacağı üzere Anahtar1 sunucu, Anahtar6 istemci modda konfigüre edilmiştir. Ayrıca Anahtar1 konfigüre edilirken VTP etki alanı Pazarlama olarak belirtilirken Anahtar6 için bu konfigürasyon yapılmamıştır. Dolayısıyla Anahtar6, Anahtar1’den alacağı ilk VTP mesajından sonra kendini Pazarlama etki alanında kabul edecek ve konfigürasyonu yapacaktır. Anahtar6’de VTP budama aktif olduğu için ve Anahtar2’de VLAN5’e atanmış hiçbir port olmadığı için VLAN5 broadcast iletişim 2.nci anahtara geçmeyecektir. Aynı şekilde 7.nci anahtarda da vtp pruning aktif edildiğinde Anahtar5’e VLAN5’e ait broadcast iletişim geçmeyecektir. Yapılan bütün VTP konfigürasyonu görmek için show vtp komutu kullanılmaktadır. Anahtar1# show vtp VTP version: 1 Configuration revision: 4 Maximum VLANs supported locally: 1005 Number of existing VLANs: 3 VTP domain name:Pazarlama VTP password: VTP operating mode: Server VTP pruning mode: Disabled VTP traps generation: Enabled Configuration last modified by: 10.5.5.3 at 00-00-0000 00:00:00

121

ÜNİTE 7 – TCP/IP PROTOKOLLERİ TCP/IP, ilk olarak DARPA (Defense Advanced Reserach Projects Agency) ve Berkeley Software Distribution tarafından geliştirilen UNIX’de kullanılan bir protokoller grubudur. Günümüzde İnternetin iletişim protokolü olarak da bilinen TCP/IP’nin açılımı Tranmission Control Protocol/Internet Protocol’dür. TCP/IP, OSI referans modelinden daha önce standartlaştırılmış ve bu referans modeli oluşturulurken TCP/IP modeli referans olarak kabul edilmiştir. TCP/IP, aynı OSI referans modeli gibi katmanlardan oluşmakta ve her bir katmanın farklı görevi bulunmaktadır. TCP/IP, 4 katmandan oluşmaktadır. Bunlar; • • • •

Uygulama Katmanı Nakil Katmanı Internet Katmanı Ağ Giriş Katmanı

Uygulama katmanı, OSI modelindeki Uygulama, Sunum ve Oturum katmanının işlevlerini yerine getirmektedir. Gönderilecek datanın ortak bir formata dönüştürülmesi ve gönderilecek bilgisayar ile sanal oturumun açılması ve yönetilmesinden sorumludur. Bu katmanda dosya transfer protokolleri (TFTP, FTP ve NFS), elektronik posta protokolü (SMTP), uzaktan erişim protokolleri (Telnet, Rlogin), ağ yönetim protokolü (SNMP) ve etki alanı adı yönetim protokolü (DNS) çalışmaktadır. Nakil katmanı, OSI modelindeki nakil katmanına denktir. Datanın güvenli bir şekilde gönderilmesinden sorumludur. Bu katmanda 2 farklı protokol çeşidi vardır. Bunlar; 9 Bağlantı-Odaklı (connection oriented) 9 Bağlantısız (connectionless) TCP bağlantı-odaklı, UDP ise bağlantısız protokoldür. Internet katmanı, OSI modelindeki ağ katmanına denktir. İletişim kuran iki bilgisayar arasındaki adresleme işlemini yapan, data paketinin gönderilmesi için en kısa yolu keşfeden ve oluşan hatalarla ilgili mesajlaşma işleminin yapıldığı katmandır. Bu katmanda Internet ProtocolIP, Internet Control Message Protocol-ICMP, Address Resolution Protocol-ARP, Reverse Address Resolution Protocol-RARP gibi protokoller çalışmaktadır. Ağ giriş katmanı ise OSI modelindeki Data-Link ve Fiziksel katmana denktir. LAN veya WAN teknolojilerinin bütünüyle uyumlu çalışmaktadır. 7.1. TRANMİSYON KONTROL PROTOKOLÜ (TRANSMİSSİON CONTROL PROTOCOL-TCP) Bu protokolün sağladığı servislerle bilgisayarlar gönderecekleri datayı parçalar ve datayı alan bilgisayar da tekrar bu parçalanmış datayı birleştirerek üst katmana verir. Yani iki bilgisayar arasında uçtan uca data nakil servisi sağlanmaktadır. TCP, nakil katmanı protokolü olduğu için datayı parçalayarak eklediği TCP başlığı ile segmentleri oluşturur. TCP segment yapısını inceleyelim. Kaynak Port (16 bit)

Hedef Port (16 bit)

122

Sıra Numarası (32 bit) Onay Numarası (32 bit) Başlık Uzunluğu (4 bit)

Reserved (6 bit)

Kod Bit (6 bit)

Pencere (16 bit)

Checksum (16 bit)

Urgent (16 bit) Seçenekler (0 ya da 32 bit) Data (değişken)

9 9 9 9 9 9 9 9 9 9 9 9

Kaynak Port: Gönderen bilgisayarın çalıştırdığı uygulamanın portu.(2 byte) Hedef Port: Alan bilgisayarın çalıştıracağı uygulamanın portu.(2 byte) Dizi No: Gönderilecek datadaki ilk bitin sıra numarasıdır.(4 byte) Onay No: Gelecek TCP oktetinin ilk bitinin sıra numarasıdır. (4 byte) Başlık Uzunluğu: Başlığın uzunluğu (4 bit) Reserved: Sıfır olarak ayarlanmıştır.(6 bit) Kod Bit: Oturumun oluşturulması ve kesilmesi gibi kontrol fonksiyonları (6 bit) Pencere: Gönderilecek maksimum data miktarını belirler.(2 byte) Checksum: Data ve başlık alanlarını kullanarak yapılan bir hesap.(2 byte) Urgent: Acil datanın sona erdiğini belirtir. (2 byte) Seçenekler: Sadece bir tane tanımlanmıştır. Maksimum TCP segment büyüklüğü 0 ya da 32 bittir. Data: Üst katmandan gelen datadır.

TCP, 5 fonksiyonu yerine getirmektedir. Bunlar; ¾ ¾ ¾ ¾ ¾

Data Transferi (Data Transfer) Multiplexing Hata Telafisi (Error Recovery) Reliability Pencereleme ile Akış Kontrolü (Flow Control Using Windowing) Bağlantı Kurulması ve Kesilmesi (Connection Establishment and Termination)

7.1.1. Data Transferi Uygulamalar, hazırlanan datanın gönderilmesinde gerekli işlemlerin yapılması için TCP servislerini kullanır. TCP, datayı gönderebilmek için uygulamanın kullanacağı port numarasını, hedef IP adresini ve datayı gönderecek protokol olan TCP bilgilerini yazarak hedef bilgisayardaki uygulamanın datayı almasını sağlar. Soket, Port numarası, hedef IP adresi ve nakil katmanı protokolü olan TCP protokolünden oluşmaktadır. Kaynak bilgisayardaki soket, uygulama port numarası, kaynak IP adresi ve nakil katmanı protokolü TCP’den oluşur. TCP, iki uç arasındaki soketler arasında IP servislerini kullanarak sıralı data gönderilmesini yönetir. Uygulama yazılımcıları, bilgisayarlarda kullanılan uygulamalar için kullanılan port numaralarının bir otorite tarafından yönetilmesi konusunda anlaşmaya varmışlardır. Bu otorite IANA (Internet Assigned Numbers Authority)’dir. Bu otorite 1024’e kadar olan port numaralarını iyi bilinen port numaraları (well-known port) olarak tanımlamıştır. Bu portlara örnek olarak FTP 21, Telnet 23, SMTP 25, DNS 53, TFTP 69, SNMP 161, RIP 520 verilebilir. Bu portlar bahsedilen

123

uygulamaları hizmet olarak sunan sunucular tarafından kullanılmaktadır. 1024’den sonraki portlar ise dinamik olarak atanarak kullanılmaktadır. Bu portlar da istemci bilgisayarlar tarafından kullanılmaktadır. Bir yazılım şirketi kendine özgü bir yazılım geliştirmiş ve iyi bilinen portlarda belirtilen protokollerden başka kendilerine özgü bir protokol geliştirmişlerse kullanılan port çoğunlukla 1024’den sonradır. Port numaraları ile ilgili geniş bilgileri www.iana.org websitesinden ulaşabilirsiniz. 7.1.2. Multiplexing TCP’nin multiplexing fonksiyonu, data alındıktan sonra uygulama katmanındaki hangi uygulamaya verileceğinin kararlaştırılmasıdır. Şekil 7.1’de görüldüğü gibi A bilgisayarı çok kullanıcılı bir sistemde varolduğunu düşünelim. (IBM Mainframe sistemi gibi)

A 10.0.0.2 Telnet İstemci 1

Telnet İstemci 2

C

B

10.0.0.3 FTP İstemci

HTTP İstemci

FTP Sunucu

Telnet Sunucu

10.0.0.5 HTTP Sunucu

Şekil 7.1 (Multiplexing) A bilgisayarından C sunucusuna 2 farklı telnet bağlantısının kurulduğunu varsayalım. C sunucusuna 2 farklı istemciden gelen isteklerin şüphesiz ayrıştırılması gerekmektedir. C sunucusu, (10.0.0.5, TCP, 23) soketini kullanmaktadır. Telnetin RFC standartları ile belirlenmiş portu 23 (well-known port) olduğu unutulmamalıdır. A bilgisayarı ise kendi soketlerini oluştururken RFC standartları ile belirlenmiş portu değil, A bilgisayarındaki boş portlardan birini kullanır. Yani A bilgisayarındaki 1.nci istemci (10.0.0.2, TCP, 1057) , 2.nci istemci de (10.0.0.2, TCP, 1058) soketlerini kullanırlar. 1057 ve 1058 portları data gönderilmesi sırasında kullanılmayan portlardır. Bu port numaraları 1024’ten büyük herhangi bir değer olabilir. Böylece C sunucusu kendisine gelen istekleri soketlerine göre ayırabilmektedir. RFC standartarında belirlenen iyi bilinen portlar (well-known port) sunucular tarafından, diğer portlar ise istemciler tarafından kullanılmaktadır. İyi bilinen portlar bütün bilgisayarlarda kodlanmıştır. FTP, Telnet ve Web servislerini sağlayan sunucular iyi bilinen portları kullanarak istekleri dinlemektedirler. Verilen servislere uygun istekler geldiğinde işlem yapmaktadırlar. BİLGİSAYAR

İSTEMCİ

İSTEMCİ SOKET

SUNUCU SOKET

A

Telnet 1

(10.0.0.2,TCP,1057)

(10.0.0.5,TCP,23)

A

Telnet 2

(10.0.0.2,TCP,1058)

(10.0.0.5,TCP,23)

B

FTP

(10.0.0.3,TCP,1057)

(10.0.0.5,TCP,21)

B

Web

(10.0.0.3,TCP,1059)

(10.0.0.5,TCP,80)

7.1.3. Hata Telafisi

124

TCP’nin en önemli özelliklerinden birisi data güvenliliğini sağlamaktır. Yani bozulan datanın tekrar gönderilerek hedef bilgisayarda data bütüncüllüğünü korumaktır. Data güvenliği TCP başlığı içindeki sıra (sequence) ve onay (acknowledgment) alanları ile sağlanmaktadır. Kaynak bilgisayar, datayı gönderirken sıra alanına, gönderilecek segmentin ilk bitin sıra numarasını yazmaktadır. Hedef bilgisayar da gönderilen bütün data segmentlerini aldığını ve gelecek segmentteki ilk bitin numarasını cevap olarak gönderir. Bu bilgileri TCP başlığı içindeki onay alanına yazmaktadır. Bu onay mesajına forward acknowledgment denir. Seq = 1000 Seq = 2000 Seq = 3000 Ack = 4000

Web İstemci

Web Sunucu

Şekil 7.2 (Hata Telafisi) Şekil 7.2’de görüldüğü gibi Web istemcisi 4000 bitlik datayı gönderiyor ve her bir segmentin sıra alanına ilk bitin numarasını yazıyor. Web sunucu da forward acknowledgment mesajı göndererek 4000.nci bitten itibaren yeni data segmentini istiyor. Seq = 1000 Seq = 2000 Seq = 3000 Ack = 2000

Web İstemci

Web Sunucu

Seq = 2000 Ack = 4000

Şekil 7.3 (Hata Telafisi) Data alışverişi yapılırken tabii ki datanın bozulması olası bir durumdur. TCP, alamadığı veya bozuk aldığı datayı tekrar alabilmek için kaynak bilgisayara bilgi gönderir. Şekil 7.3’de görüldüğü gibi Web sunucu ilk 4000 bitlik data içerisinde 2000-2999 bitlik kısmı alamamıştır. Web sunucu da bu data segmentini almak üzere bilgi göndermiş ve web istemci de bu data segmenti tekrar göndermiştir. 7.1.4. Pencereleme ile Akış Kontrolü TCP başlığı içindeki sıra (sequence) ve onay (acknowledgment) alanlarının yardımıyla akış kontrolü sağlanmaktadır. TCP başlığında bulunan pencere (window) alanı kaynak bilgisayarın hedef bilgisayardan onay almadan gönderebileceği maksimum data limitidir. Bu pencere alanındaki değer küçükten başlar ve hata oluşmadığı sürece artarak büyür. Eğer hata oluşursa tekrar bu değer küçültülür ve hata oluşana kadar bu değer artırılır.

125

Ack = 1000 ; Win = 2000 Seq = 1000 Seq = 2000 Ack = 3000 ; Win = 3000 Web İstemci

Seq = 3000

Web Sunucu

Seq = 4000 Seq = 5000

Şekil 7.4 (Pencereleme) Şekil 7.4’de görüldüğü gibi Web istemci ile sunucu arasındaki iletişimde pencere büyüklüğü ilk başta 2000 bittir. Web istemci 2000 bitlik data gönderdikten sonra yeni bir data segmenti gönderebilmesi için mutlaka sunucudan onay alması gerekmektedir. Çünkü pencere limiti dolmuştur. İlk 2000 bitlik iletişimde herhangi bir hata oluşmadığı için pencere alanındaki değer 3000’e çıkarılmıştır. Eğer kaynak bilgisayarın gönderdiği data miktarı pencere alanındaki değere ulaşmadan hedef bilgisayardan onay alınmışsa, kaynak bilgisayar data göndermeye devam edecektir. 7.2. KULLANICI DATAGRAM PROTOKOLÜ (USER DATAGRAM PROTOCOL-UDP) UDP, bağlantı odaklı bir protokol değildir. Bu protokol, uygulamalar için mesajlaşmaya gerek duymadan servis sağlamaktadır. UDP protokolünün, TCP’nin aksine hata telafisi, pencereleme ve datanın sıralı gidip gitmediğini araştırmaya yönelik bir mekanizması yoktur. UDP, sadece data transferi ve multiplexing yapmaktadır. Bu protokol aynen TCP gibi multiplexing için soketleri kullanmaktadır. Tabii ki IP başlığındaki protokol alanında UDP bilgisi yazmaktadır. Yine soketlerde bulunan uygulamalar için aynı port numaraları kullanılmaktadır. Sunucular, RFC standartları ile belirlenen iyi bilinen port numaralarını (well-known port) kullanmaktadırlar. UDP data transferini yaparken TCP gibi datayı sıralı şekilde gönderme veya hata telafisi yapma gibi fonksiyonları gerçekleştirmez. Kendi içerisinde hata telafi mekanizması olan veya hata oluşmasını önemsemeyen uygulamalar, UDP protokolünü kullanmaktadırlar. Örneğin; DNS sorgulaması yapan bilgisayar bir hata oluştuğunda aynı sorgulamayı tekrar yapabilmektedir. Sorgulamanın tekrar yapılması çok önemli değildir. Ayrıca NFS uygulama katmanındaki mekanizması ile hatayı telafi edebilmektedir. Bütün bunlardan dolayı DNS ve NFS, UDP protokolünü kullanmaktadırlar. Ayrıca UDP segmentindeki başlık daha az yüke sahip olduğu için daha hızlı çalışmaktadır. UDP başlığında sıra ve onay numarasının olmaması, datanın hafızada tutulmadan ve daha fazla işlemci gücüne ihtiyaç bırakmadan işlem görmesini sağlamaktadır. 7.3. ADRES ÇÖZÜMLEME PROTOKOLÜ (ADDRESS RESOLUTİON PROTOCOL-ARP) Bilgisayarlar arası iletişimde fiziksel bağlantının kurulabilmesi için fiziksel adresin bilinmesi gerekmektedir. ARP protokolü, IP adresi bilinen bir bilgisayarın MAC adresinin öğrenilmesinde kullanılır. Ağ katmanından sonra Data-link katmanının başlık ve kuyruğunun takılabilmesi için hedef MAC adresinin bilinmesi gerekmektedir. Dolayısıyla TCP/IP iletişimde Internet katmanından fiziksel katmana geçmeden önce IP adresi bilinen bilgisayarın ARP 126

protokolü kullanılarak MAC adresi öğrenilmektedir. Yani ARP protokolü Internet katmanında çalışmaktadır. İki bilgisayar iletişim kuracağı zaman kaynak bilgisayar, IP adresini bildiği hedef bilgisayara MAC adresini sorar. Bu işlem ARP istek (ARP request) mesajıyla gerçekleştirilir. ARP istek mesajı, broadcast olarak yayınlanır ve bu pakette yazılı olan IP adresi kime ait ise sadece o bilgisayar cevap verir. Bu cevap mesajında ise bilgisayarın MAC adresi vardır. Bu cevap mesajına da ARP cevap (ARP reply) denir. Kaynak bilgisayar, aldığı bu cevap mesajındaki MAC adresini IP adresi ile ilişkilendirerek bilgisayarın ön belleğinde bu bilgileri saklar. Eğer burada saklanan ARP bilgilerine sahip bilgisayarlarla iletişim devamlı ise bu bilgi silinmez. Fakat belli bir süre iletişimde bulunulmayan bilgisayarların ARP bilgileri silinmektedir. 7.4. INTERNET KONTROL PROTOCOL-ICMP)

MESAJ

PROTOKOL

(INTERNET

CONTROL

MESSAGE

ICMP, TCP/IP iletişimin bir parçası olarak düşünülür ve Internet Protokolünün kontrol ve yönetimine destek olmaktadır. İki bilgisayar arasındaki iletişimde hedef bilgisayarda, ağ çıkış kapısında veya yönlendiriciler de oluşan hatalar ICMP mesajı olarak kaynak bilgisayara bildirilmektedir. ICMP, RFC 792 standardı ile belirlenmiştir. ICMP başlığı aşağıda görülmektedir. Başlıkta bulunan tip alanı, mesajın ne tür mesaj olduğunu; kod alanı ise tip alanında belirtilen mesaj türünün altbaşlığını belirtir. IP

Tip

Kod

Checksum

Tip ve Kod alanına bağlı olarak değişken

ICMP

Birçok farklı duruma göre hata mesajları oluşturulur. Tablo 7.1’de bu hata mesajları görülmektedir. Bazı mesaj tiplerinin değişik kod alan değerleri bulunmaktadır. Bunlara daha detaylı olarak değinilecektir. MESAJ

AÇIKLAMA

Hedefe Ulaşılamıyor (Destination Unreachable)

Kaynak bilgisayara datanın gönderilmesi ile ilgili problem olduğunu belirtir.

Zaman Aşımı (Time Exceeded)

Gönderilen data paketinin hedefine ulaşması için gerekli olan zamanın bittiği ve paketin yok edildiğini belirtir.

Source Quench

Kaynak bilgisayar yönlendirmeyi yapan cihazdan daha hızlı data gönderdiğini ve yavaşlaması gerektiğini belirtir.

Tekrar yönlendirme (Redirect)

Bu mesajı gönderen yönlendirici aldığı paketlerin hedefe ulaşması için daha iyi bir rotaya sahip olan yönlendiricinin varlığını belirtir.

Yankı (Echo)

Ping komutu tarafından bağlantıyı onaylamak için kullanılmaktadır.

Parameter Problem

Parametrenin yanlış olduğunu belirtmek için kullanılır.

Timestamp

Belirli bilgisayarlara ulaşmada geçen roundtrip zamanını belirlemek için kullanılır.

Address Mask Request/Reply

Doğru subnet maskenin öğrenilmesi için kullanılmaktadır.

Router Advertisement and Selection

Subnete bağlı olan yönlendiricilerin IP adreslerini öğrenmek için kullanılmaktadır.

127

Tablo 7.1 (ICMP Mesajları) 7.4.1. Hedefe Ulaşılamıyor ICMP Mesajı (Destination Unreachable) Bu tip ICMP mesajının 5 farklı kod alan değeri vardır. Bu mesajları bir örnek üzerinde inceleyelim. Şekil 7.5’de görüldüğü gibi Web istemcinin web sunucuya bağlanmaya çalıştığını varsayalım. Ulaşılamaz tip alan değerli ICMP mesajının 3 farklı koddaki mesajı A ve B yönlendiricileri tarafından gönderilebilir. Diğer 2 farklı koddaki Hedefe Ulaşılamıyor ICMP mesajı da Web sunucu tarafından gönderilmektedir. Bu hata mesajları, Web istemcinin gönderdiği IP paketleri için oluşturulduğundan Web istemciye gönderilmektedir. 10.0.1.0 / 24

10.0.2.0 / 24

A

10.0.3.0 / 24

Web İstemci

B

Web Sunucu

Şekil 7.5 (Hedefe Ulaşılamıyor ICMP Mesajı) Ağa Ulaşılamıyor (Network Unreachable) kodlu ICMP mesajı, A yönlendiricisinin yönlendirme tablosunda 10.0.2.0/24 ağına giden bir rota bulunamadığı zaman gönderilmektedir. Hedef Bilgisayara Ulaşılamıyor (Host Unreachable) kodlu ICMP mesajı, B yönlendiricisi Web sunucusuna gönderdiği ARP istek paketinden bir cevap alamadığı zaman gönderilir. Bu durumda Web istemcinin gönderdiği paket, A yönlendiricisi tarafından B yönlendiricisine gönderilmiştir. Fakat web sunucu çalışmadığı, kapalı olduğu veya başka bir nedenden dolayı ARP isteğine cevap verememiştir. Parçalanamaz (can’t fragment) kodlu ICMP mesajı, gönderilen IP paketinin büyüklüğü A, B veya aradaki yönlendiricilerin yönlendirecekleri ağın MTU değerinden daha büyük olduğu ve IP başlığının Parçalamayın (Do not fragment) biti yerleştirildiği zaman gönderilmektedir. Çünkü yönlendiriciler IP paketlerini bölmek isteyeceklerdir. Fakat IP başlığının Parçalamayın (Do not fragment) biti yerleştirilmiş olan paketleri bölemeyeceklerdir. Görüldüğü gibi bu üç mesaj yönlendiriciler tarafından gönderilmektedir. Protokole Ulaşılamıyor (Protocol Unreachable) kodlu ICMP mesajı, hedef bilgisayarda TCP veya UDP gibi protokolü çalıştıran yazılımın bulunmadığı zaman gönderilmektedir. Tabii ki günümüzde böyle bir durumun olması çok olası değildir. Ancak bu yazılımların bozulduğu durumlarda sözkonusu olabilir. Porta Ulaşılamıyor (Port Unreachable) kodlu ICMP mesajı, hedef bilgisayarın çalıştığı fakat web sunucu yazılımının çalışmadığı zaman gönderilmektedir. Yani 80 nolu porta ulaşılamadığı durumlarda bu mesaj gönderilmektedir. Tabii ki başka uygulama ile iletişim kurulacağı zaman o uygulamanın kullandığı porta ulaşılamadığında bu mesaj gönderilecektir. 7.4.2. Zaman Aşımı ICMP Mesajı (Time Exceeded)

128

IP paketlerinin bir döngü oluşturmaması için IP başlığı içinde bulunan TTL alanı kullanılmaktadır. Zaman Aşımı mesaj tipinde ICMP, 2 farklı kod alan değerine sahiptir. Bu değerlerden sadece biri “TTL aşımı” kodlu mesaj bahsedilecektir. TTL alanındaki değer her bir yönlendirici tarafından 1 azaltılarak yönlendirilir. TTL değeri sıfır olunca bu paket yönlendirici tarafından yok edilir ve aynı yönlendirici Zaman Aşımı, TTL aşımı kodlu ICMP mesajı üreterek IP paketinin kaynak adresine gönderir. TCP/IP yazılımı kullanan bütün bilgisayarlar ICMP kullanmaktadırlar. ICMP TTL aşımı mesajı, trace (IP adres) komutuyla ağ yöneticisi için bir avantaj olmaktadır. Trace komutu uygulandığında UDP protokolünü kullanılarak TTL değeri 1 olan arka arkaya 3 IP paketi gönderilir. Bu paket ilk yönlendirici tarafından TTL değeri 0 yapılarak yok edilecek ve bu paketi gönderen bilgisayara TTL aşımı ICMP mesajı gönderecektir. Böylelikle bu kullanıcıya en yakın yönlendiricinin IP adresi öğrenilecektir. Daha sonra aynı şekilde fakat TTL değeri 2 yapılarak yeni 3 IP paketi gönderilecektir. Bu paket ikinci yönlendiricide yok edilecek ve aynı şekilde TTL aşımı ICMP mesajı gönderilecektir. Trace komutunun uygulandığı hedef IP adresine ulaşana kadar bu şekilde devam edecektir. Hedef kullanıcıya en yakın yönlendiriciye de ulaştıktan sonra gönderilecek IP paketinde yine TTL değer 1 artırılacak fakat port numarası olarak kullanılması olası olmayan bir port numarası seçilecektir. Böylece bilgisayar bu port numarasının kullanacağı uygulamayı bulamayacak ve Porta ulaşılamıyor ICMP mesajı üretilecektir. Böylece trace komutunda belirtilen kullanıcı ile bağlantı kurulacak ve aradaki bütün yönlendiricilerin de IP adresleri öğrenilecektir. Aşağıda görülen A yönlendiricisinden 10.0.2.14 kullanıcıya ulaşırken geçilecek yönlendiricilerin IP adresleri öğrenilmek istendiği zaman trace 10.0.2.14 komutu kulanılmaktadır. RouterA#trace 10.0.2.14 Type escape sequence to abort. Tracing the route to 10.0.2.14 1 2 RouterA#

10.0.3.253 10.0.2.14

8 msec 12 msec

4 msec 8 msec

4 msec 4 msec

7.4.3. Yeniden Yönlendirme ICMP Mesajı (Redirect) Yönlendirilmiş bir ağda bilgisayarlar bulundukları subnetin dışındaki bir bilgisayarla iletişim kuracakları zaman daha önce konfigüre edilmiş olan öngörülen ağ çıkış kapısına datayı yönlendirirler. Bu datayı alan yönlendirici hedef IP adresin bulunduğu subneti yönlendirme tablosunda bularak ilgili fiziksel porttan datayı gönderir. Şekil 7.6’da görüldüğü gibi istemci bir bilgisayar, 192.168.10.0/24 ağına göndereceği datayı TCP/IP konfigürasyonunda öngörülen ağ çıkış kapısı A yönlendiricisi olduğu için A yönlendiricisine göndermektedir. A yönlendiricisi de yönlendirme tablosunda en iyi rotayı tespit edip datayı yönlendirmektedir. Fakat en iyi rota B lokal yönlendiricisi olduğu için datayı B yönlendiricisine göndermektedir. A yönlendiricisi aynı zamanda ICMP yeniden yönlendirme mesajını da kaynak bilgisayara göndermekte ve bundan sonraki dataları B lokal yönlendiricisine gönderebileceğini belirtmektedir.

129

A

2

B 192.168.10.0/24

C 1 3

Şekil 7.6 (Yeniden Yönlendirme ICMP Mesajı) 7.4.4. Yankı İstek ve Cevap ICMP Mesajı (Echo Request and Reply) ICMP yankı istek ve cevap mesajları ping komutunda kullanılmaktadır. Yankı istek ICMP mesajı alan bilgisayar bu mesaja cevap vermesi istenmektedir. Böylelikle iki bilgisayar arasındaki fiziksel bağlantının varlığı anlamak mümkündür. Genelde bu komut bağlantı problemini anlamak ve problemin kaynağını öğrenmek için kullanılmaktadır. 7.5. FTP PROTOKOLÜ (FILE TRANSFER PROTOCOL-FTP) Dosya Transfer Protokolü, TCP tabanlı bir çok opsiyonu olan ve Cisco IOS tarafından desteklenmeyen bir protokoldür. FTP bağlantı kurulurken FTP sunucunun 21 numaralı portu kullanılmaktadır. Bu bağlantı da aynı TCP’de olduğu gibi 3 tane mesaj ile gerçekleşmektedir. Bu bağlantıya FTP kontrol bağlantı (FTP control connection) denmektedir. FTP sunucuya kullanıcı, kullanıcı adı ve şifresi ile bağlanması ve dosya transferi yapabilmesi veya dosyaları görüntüleyebilmesi için de gerekli izinlere sahip olması gerekmektedir. Uygulanacak komutlar FTP kontrol bağlantıdan gönderilmektedir. Data transferi, kurulan ikinci bağlantı üzerinden gerçekleştirilmektedir. Bu bağlantı da 20 numaralı portu kullanmaktadır. Bu bağlantıya data bağlantı (data connection) denmektedir. Birden fazla dosya transferi gerektiği zaman kontrol bağlantı her bir transfer için ayrı bir data bağlantısı kurmaktadır. Her bir transfer için ayrı kontrol bağlantı gerekmemektedir. 7.6. TFTP PROTOKOLÜ (TRIVIAL FILE TRANSFER PROTOCOL-TFTP) TFTP, UDP tabanlı Cisco IOS tarafından desteklenen ve daha az hafıza gerektiren bir protokoldür. Genelde yönlendiriciler kişisel bilgisayarlara göre daha az işlemci gücüne ve hafıza kapasitesine sahip olduğu için kişisel bilgisayarlarla dosya transferi yapılırken FTP, yönlendiriciler ve anahtarlarda ise TFTP kullanılmaktadır. Bu protokolde hata telafisi yoktur. Nakil katmanında UDP kullanıldığından dolayı hızlı bir iletişim söz konusudur. 7.7. INTERNET PROTOKOLÜ (INTERNET PROTOCOL-IP) IP, bağlantısız (connectionless) bir protokoldür. IP, datanın hedefe ulaşması için en iyi yolu seçmekte ve gelen paketlerin IP adreslerini okuyarak ağdaki bilgisayarların yerini belirlemektedir. IP başlığı aşağıda görülmektedir. Versiyon (4 bit)

Başlık Uzunluğu (4 bit)

Öncelik ve Servis tipi (8 bit)

Toplam Uzunluk (16 bit)

Kimlik (16 bit)

Bayrak (3 bit)

130

Fragment Ofset (13 bit)

TTL (8 bit)

Protokol (8 bit)

Başlık checksum (16 bit)

Kaynak IP adresi (32 bit) Hedef IP adresi (32 bit) Opsiyon (0 ya da 32 bit) Data

9 9 9

9 9 9 9 9 9 9 9 9 9 9

Versiyon: IP versiyon numarası (4 bit) Başlık Uzunluğu: Başlığın uzunluğu (4 bit) Öncelik ve Servis Tipi: İlk 3 bit öncelik (precedence),4.ncü bit gecikme (delay), 5.nci bit iletilen data miktarı (throughput) ve 6.ncı bit güvenirlilik bitidir. Son iki bit gelecekte kullanılmak üzere ayrılmıştır.(8 bit) Toplam Uzunluk: Başlık ve data bitlerinin toplam uzunluğu. (16 bit) Kimlik: Datagramın tekrar birleştirilmesi ile ilgili gönderici tarafından konulan değerdir. (16 bit) Bayrak: İlk bit ayrılmıştır ve sıfır olmak zorundadır. 2.nci bit parçalama (don’t fragment), son bit ise parçala (more fragment) bitidir. (3 bit) Fragment Offset: Farklı MTU değerlerine geçişte bu fragmentasyonun datagramda nereye ait olduğunu belirtir. (13 bit) TTL: Gönderilecek datanın yaşam süresi.(8 bit) Protokol: Datagramı gönderecek olan 4.ncü katman protokolü.(8 bit) Başlık Checksum: Başlığın doğruluğunun hesaplandığı değer. (16 bit) Kaynak IP Adresi: Kaynak bilgisayarın mantıksal adresi (32 bit) Hedef IP Adresi: Hedef bilgisayarın mantıksal adresi (32 bit) Seçenekler: Ağ testi, güvenlik ve diğerleri (0 ya da 32 bit) Data: Üst katmandan gelen datadır.

TCP/IP iletişimdeki Internet katmanında çalışan IP protokolünün başlığında bulunan Protokol alanında 4.ncü katman protokol bilgileri bulunmaktadır. Protokolleri tanımlayan bu alanın değerleri Tablo 7.2’de görülmektedir. PROTOKOL ADI

PROTOKOL ALAN DEĞERİ

TCP

6

UDP

17

ICMP

1

IGRP (Interior Gateway Routing Protocol)

9

IPv6 (IP versiyon 6)

41

GRE (Generic Routing Encapsulation)

47

IP’deki IPX

11

L2TP (Layer 2 Tunneling Protocol)

115

Tablo 7.2 (Port Numaraları)

131

ÜNİTE 8 – IP ve IPX ADRESLERİ VE ADRESLEMELERİ TCP/IP iletişimde bilgisayarlar IP veya IPX mantıksal adreslerinden herhangi birini kullanarak iletişim kurmaktadırlar. Bu mantıksal adresler her bir bilgisayarın sayısal bir kimliğidir ve ağ içerisinde cihazın lokasyonunu belirlemektedir. 8.1. IP ADRESİ ve IP ADRESLEME IP adresi, 32 bitten oluşan 3.ncü katman adresidir ve 8 bitlik 4 bölümden oluşur. Her bir 8 bitlik bölüme oktet denir. Bir diğer deyişle IP adresi 4 oktetten oluşmaktadır. Her bir oktetin değeri minimum 0, maksimum 255 olabilmektedir. Fakat her bir oktet toplam 256 farklı değer alabilmektedir. (0,1,2,...,255) 172

16

122

204

10101100

00010000

01111010

11001100

IP adresleri iki bölüme ayrılmıştır. Bunlar; 9 9

Ağ (Network): Bir grup bilgisayarı temsil eden ve o grupta bulunan bütün bilgisayarlarda aynı olan bölümdür. Uç (Host): Ağdaki uç bilgisayarı temsil eden ve o ağda tek olan tekrar etmeyen bölümdür.

Toplam 232 adet farklı IP adresi vardır. Bu adresler farklı ağ bölümleri tanımlanarak sınıflara ayrılmıştır. Bu sınıflar Tablo 8.1’de görülmektedir. SINIF ADI

8 bit

8 bit

8 bit

8 bit

A Sınıfı









B Sınıfı









C Sınıfı









D Sınıfı

Çoklu Yayın (Multicast)

E Sınıfı

Araştırma

Tablo 8.1 (Ağ Sınıfları) Buna göre A sınıfı IP adreslerinin ilk okteti ağı, son üç okteti ucu; B sınıfı IP adreslerinin ilk iki okteti ağı, son iki okteti ucu ve C sınıfı IP adreslerinin ilk üç okteti ağı, son okteti ise ucu belirtmektedir. A sınıfı toplam 28 ağ adresi, B sınıfı toplam 216 ağ adresi, C sınıfı toplam 224 ağ adresi bulunmaktadır. A sınıfı IP adreslerinde her bir ağ için 224 farklı uç adresi, B sınıfı IP adreslerinde her bir ağ için 216 farklı uç adresi ve C sınıfı IP adreslerinde 28 farklı uç adresi verilebilmektedir. D sınıfı IP adresleri çoklu yayın için ve E sınıfı IP adresleri de araştırmalar için ayrılmıştır. Belirtilen A, B ve C sınıfı ağ adres ve uç sayılarındaki bazı kısıtlar bulunmaktadır. Bu kısıtlar ileride bahsedilecektir. IP adreslerin ağ adreslerinin hesaplanması için 32 bitlik 4 oktetten oluşan maske kullanılmaktadır. Maske değerleri de IP adresleri ile aynı yapıdadırlar. Maske, IP adresi hangi IP sınıfında ise o sınıfın ağı belirten bölümünün bitleri 1, ucu belirten bölümünün bitleri 0’dır. Her bir sınıfın öngörülen maskesini Tablo 8.2’de inceleyebilirsiniz.

132

SINIF A SINIFI B SINIFI C SINIFI

ÖNGÖRÜLEN MASKE 255

0

0

0

11111111

00000000

00000000

00000000

255

255

0

0

11111111

11111111

00000000

00000000

255

255

255

0

11111111

11111111

11111111

00000000

Tablo 8.2 (Ağ Öngörülen Maskeleri) IP adresleri ile öngörülen maske arasında “ve” mantıksal işlemini uyguladığınızda elde ettiğiniz adres ağ adresi olacaktır. Ağ adresi bütün bir ağı temsil etmektedir ve herhangi bir bilgisayara IP adresi olarak atanmazlar. Ağ adresinin uç bölümünün bütün bitleri 0’dır. Örneğin; 132.15.78.202 IP adresi B sınıfı bir adrestir. Yukarıdaki tabloya göre maske de 255.255.0.0’dır. IP adresi ile maske arasındaki “ve” mantıksal işlemini Tablo 8.3’de inceleyebilirsiniz. 10’luk düzen IP Adresi

132.15.78.202

2’lik düzen 10000100

00001111

01001110

11001010

Subnet Mask

255.255.0.0

11111111

11111111

00000000

00000000

Ağ Adresi

132.15.0.0.

10000100

00001111

00000000

00000000

Tablo 8.3 (Ve Mantıksal İşlemi) Herhangi bir ağda bütün adresleri temsil etmek için kullanılan adreslere broadcast adres denir. Bu adresler de ağ adresi gibi ağdaki herhangi bir bilgisayara IP adresi olarak atanmaz. Broadcast adresinin uç bölümünün bütün bitleri ağ adresinin tersine 1’dir. Yukarıdaki örneğin broadcast adresini hesaplarsak 132.15.255.255 (10000100.00001111.11111111.11111111) elde ederiz. IP adresinin sınıflara ayrılması Tablo 8.4’de görüleceği gibi bir kısıtla belirlenmiştir. Bu kısıta göre IP adreslerinin hangi sınıfa ait olduğu ilk oktetine bakılarak karar verilmektedir. Eğer ilk oktet 1-126 kapalı aralığında ise A sınıfı, 128-191 kapalı aralığında ise B sınıfı, 192-223 kapalı aralığında ise C sınıfı, 224-239 kapalı aralığında ise D sınıfı ve 240-255 kapalı aralığında ise E sınıfı IP adresidir. Sınıf

İlk oktet

Geçerli Ağ Adresi

Toplam Ağ Sayısı

Ağ başına düşen toplam uç sayısı

A

1-126

1.0.0.0-126.0.0.0

27-2

224-2

B

128-191

128.1.0.0-191.254.0.0

214-2

216-2

C

192-223

192.0.1.0-223.255.254.0

221-2

28-2

Tablo 8.4 (IP Sınıfları) Tablo 8.4’de belirtildiği gibi A sınıfında bulunan ağ adreslerini, ağ sayısını ve her bir ağda bulunan toplam uç sayısını anlayabilmek için ilk okteti inceleyelim. A sınıfı bir IP adresinin ilk okteti minimum 1 ve maksimum 126 olduğundan ilk oktetin ilk biti kesinlikle 0 olmak zorundadır. A sınıfı IP adreslerinde ağı tanımlayan ilk oktetin sadece 7 biti kalacaktır. Yani 27 farklı A sınıfı ağ adresi vardır. İlk biti 0 olmak üzere olabilecek olası değerler şunlardır; 00000000 .00000000 .00000000 .00000000 =0.0.0.0

133

00000001 00000010 00000011 00000100

……… 01111110 01111111

.00000000 .00000000 .00000000 .00000000 ……… .00000000 .00000000

.00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000

.00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000

=1.0.0.0 =2.0.0.0 =3.0.0.0 =4.0.0.0 …….. =126.0.0.0 =127.0.0.0

0.0.0.0 IP adresi broadcast ve 127.0.0.0 IP adresi loopback adresi için ayrılmıştır. Dolayısıyla A sınıfı ağ adresleri 27-2 adettir. B sınıfı bir IP adresinin de ilk okteti minimum 128 maksimum 191 olduğu için ilk oktetin ilk iki biti 10 olmak zorundadır. Dolayısıyla B sınıfı IP adreslerinde ağı tanımlayan sadece 14 bit vardır. Olası B sınıfı ağ adresleri şunlardır; 10000000 10000000 10000000 10000000 10000000 ……… 10000000 10000001 10000001 10000001 ……… 10111111 ……… 10111111

.00000000 .00000001 .00000010 .00000011 .00000100 ……… .11111111 .00000000 .00000001 .00000010 ……… . 00000000 ……… . 11111111

.00000000 .00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000 .00000000 .00000000 ………. .00000000 ………. .00000000

.00000000 .00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000 .00000000 .00000000 ………. .00000000 ………. .00000000

=128.0.0.0 =128.1.0.0 =128.2.0.0 =128.3.0.0 =128.4.0.0 …….. =128.255.0.0 =129.0.0.0 =129.1.0.0 =129.2.0.0 …….. =191.0.0.0 …….. =191.255.0.0

128.0.0.0 ve 191.255.0.0 ağları özel kullanım için ayrılmıştır. Dolayısıyla geçerli olan B sınıfı ağ adresi toplam 214-2 adettir. C sınıfı bir IP adresinin ilk okteti minimum 192 maksimum 223 olduğu için ilk oktetin ilk üç biti 110 olmak zorundadır. Dolayısıyla C sınıfı IP adreslerinde ağı tanımlayan sadece 21 bit vardır. Olası C sınıfı ağ adresleri şunlardır; 11000000 11000000 11000000 11000000 11000000 ……… 11000000 11000000 11000000 11000000 ……… 11000000 11000001 ……… 11011111

.00000000 .00000000 .00000000 .00000000 .00000000 ……… .00000000 .00000001 .00000001 .00000001 ……… .11111111 .00000000 ……… . 00000000

.00000000 .00000001 .00000010 .00000011 .00000100 ………. .11111111 .00000000 .00000001 .00000010 ………. .11111111 .00000000 ………. .00000000

.00000000 .00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000 .00000000 .00000000 ………. .00000000 .00000000 ………. .00000000

134

=192.0.0.0 =192.0.1.0 =192.0.2.0 =192.0.3.0 =192.0.4.0 …….. =192.0.255.0 =192.1.0.0 =192.1.1.0 =192.1.2.0 …….. =192.255.255.0 =193.0.0.0 …….. =223.0.0.0

……… 11011111

……… . 11111111

………. .11111111

………. .00000000

…….. =223.255.255.0

192.0.0.0 ve 223.255.255.0 adresleri özel kullanım için ayrılmıştır. Dolayısıyla geçerli olan C sınıfı ağ adresi toplam 221-2 adettir. Sonuç olarak yukarıda bahsedildiği üzere IP sınıflarının ilk oktet karakteristiği Tablo 8.5’te görülmektedir. SINIF

(10’luk düzen)

A

1-126

0

-

-

-

-

-

-

-

B

128-191

1

0

-

-

-

-

-

-

C

192-223

1

1

0

-

-

-

-

-

D

224-239

1

1

1

0

-

-

-

-

E

240-254

1

1

1

1

0

-

-

-

İLK OKTET (2’lik düzen)

Tablo 8.5 (IP Sınıfları İlk Oktet Karakteristiği) Her bir A sınıfı ağ adresinde uç bölümünde 24 bit bulunduğundan 224 farklı IP adresi atanabilir. Fakat daha önce bahsedildiği gibi ağ adresi ve broadcast adresi ağdaki bir bilgisayara atanamayacağı için toplam atanabilir IP adres 224-2 adettir. Örneğin; 8.0.0.0 ağ adresinde 8.0.0.0 ağ adresi ve 8.255.255.255 broadcast adresi olduğu için herhangi bir bilgisayara atanmaz. Aynı durum B ve C sınıfı ağlar için de geçerlidir. Dolayısıyla her bir B sınıfı ağda 216-2 ve her bir C sınıfı ağda 28-2 adet atanabilir IP adresi vardır. DİKKAT : IP adreslerinde herhangi bir oktette 256 değeri olamaz. Yani 192.168.256.52 gibi bir IP adresi yanlıştır. Buraya kadar anlatılan konular yardımıyla verilen bir IP adresinin hangi ağda olduğunu bu ağın broadcast adresini ve atanabilir ilk ve son IP adresini hesaplayabilirsiniz. Tablo 8.6’daki örnekleri inceleyelim. Öncelikle verilen IP adresinin hangi sınıfa ait olduğu ilk oktetteki değer incelenerek belirlenir. Hangi sınıfa ait ise o sınıfın öngörülen maskesi saptanır. IP adresi ile öngörülen maske arasında “ve” mantıksal işlemi uygulanır. Ağ adresi hesaplanırken öngörülen maskenin kullanıldığı durumlarda 255 değerinin bulunduğu oktetler aynen ve 0 değerinin bulunduğu oktetler 0 olarak yazılır. Ağ adresi belirlendikten sonra ağ adresinin 0 değerindeki oktetleri 255 olarak değiştirildiğinde broadcast adres elde edilir. Bu ağda atanabilir ilk IP adres, ağ adresinden sonraki ilk adrestir. Son adres ise broadcast adresinden bir önceki adrestir. 10’luk düzen

2’lik düzen

IP Adres

172.16.129.201

10101100

00010000

10000001

11001001

Öngörülen Maske

255.255.0.0

11111111

11111111

00000000

00000000

Ağ Adresi

172.16.0.0

10101100

00010000

00000000

00000000

Broadcast Adres

172.16.255.255

10101100

00010000

11111111

11111111

İlk Adres

172.16.0.1

10101100

00010000

00000000

00000001

Son Adres

172.16.255.254

10101100

00010000

11111111

11111110

135

IP Adres

10.16.193.6

00001010

00010000

11000001

00000110

Öngörülen Maske

255.0.0.0

11111111

00000000

00000000

00000000

Ağ Adresi

10.0.0.0

00001010

00000000

00000000

00000000

Broadcast Adres

10.255.255.255

00001010

11111111

11111111

11111111

İlk Adres

10.0.0.1

00001010

00000000

00000000

00000001

Son Adres

10.255.255.254

00001010

11111111

11111111

11111110

IP Adres

17.28.253.201

00010001

00011100

11111101

11001001

Öngörülen Maske

255.0.0.0

11111111

00000000

00000000

00000000

Ağ Adresi

17.0.0.0

00010001

00000000

00000000

00000000

Broadcast Adres

17.255.255.255

00010001

11111111

11111111

11111111

İlk Adres

17.0.0.1

00010001

00000000

00000000

00000001

Son Adres

17.255.255.254

00010001

11111111

11111111

11111110

IP Adres

201.205.12.56

11001001

11001101

00001100

00111000

Öngörülen Maske

255.255.255.0

11111111

11111111

11111111

00000000

Network ID

201.205.12.0

11001001

11001101

00001100

00000000

Broadcast Adres

201.205.12.255

11001001

11001101

00001100

11111111

İlk Adres

201.205.12.1

11001001

11001101

00001100

00000001

Son Adres

201.205.12.254

11001001

11001101

00001100

11111110

Tablo 8.6 Yukarıdaki tabloda görülen IP adresleri 172.16.129.201/16, 10.16.193.6/8, 17.28.253.201/8, 201.205.12.56/24 şeklinde de gösterilebilir. İkinci bölümdeki sayılar IP adresinin maskesinde kaç bitinin ağa ait olduğunu (yani 1 olduğunu) belirtmektedir. 8.1.1. Alt Ağlar Oluşturma Bir organizasyonda mevcut ağ büyüdükçe broadcast etki alanı da genişleyecek ve bütün ağdaki bilgisayarlar yoğun bir broadcast trafiğinde bulunacaktır. Bu da ağ performansını ciddi derecede olumsuz etkileyecektir. Ayrıca A veya B sınıfı bir IP ağ adresini, ağdaki bilgisayarların IP konfigürasyonu için kullanıldığında A sınıfında 16.777.214 adet, B sınıfında 65.534 adet IP adresi kullanılabilecektir. Bu da çok geniş bir ağ olduğundan dolayı bütün IP adresleri atanamayacaktır. Bunların yanı sıra ağ, farklı lokasyonlarda bulunan dağıtık bir ağ ise her bir lokasyonda farklı IP ağ adresi kullanılması gerekecektir. Bu da IP yönetimini zorlaştıracaktır. Bütün bunları tek sınıf IP ağ adresini alt ağlara (subnet) bölerek çözümleyebilirsiniz. Herhangi bir sınıf IP ağ adresinin uç bitlerinden bir kısmını alt ağ için ayırarak alt ağlar oluşturabilirsiniz. Alt ağlara ayırma işlemi yaparken 9 Gerek duyulan kullanıcı sayısı 9 Gerek duyulan alt ağ sayısı olmak üzere iki farklı kriter kullanılabilir. A Sınıfı

B Sınıfı

8 bit

(24-x) bit

x bit



Alt Ağ



16 bit

(16-x) bit

x bit



Alt Ağ



136

24 bit

(8-x) bit

x bit

Ağ Alt Ağ Tablo 8.7 (Alt Ağlara Ayırma)



C Sınıfı

Tablo 8.7’de görüldüğü gibi ağ bitleri sabit kalarak ihtiyaç duyulan alt ağ sayısı veya her bir alt ağ için gereken kullanıcı sayısına göre uç bitlerinden bit alınıp değerleri 1 yapılır. Böylece ağ ve alt ağ bitleri 1, uç bitleri 0 olmak üzere alt ağ maskesi elde edilir. Örneğin B sınıfı bir IP ağ adresinin uç bitinden 5 bit alt ağ biti olarak alınırsa elde edilen alt ağ maskesi 255.255.248.0 (11111111.11111111.11111000.00000000)’dir. Bu alt ağ /21 olarak da IP adresinden sonra belirtilebilir. Tablo 8.8 alt ağ maskeleri hesaplamada yardımcı olacaktır. 128 0 1 1 1 1 1 1 1 1

64 0 0 1 1 1 1 1 1 1

32 0 0 0 1 1 1 1 1 1

16 0 0 0 0 1 1 1 1 1

8 0 0 0 0 0 1 1 1 1 Tablo

4 0 0 0 0 0 0 1 1 1 8.8

2 0 0 0 0 0 0 0 1 1

1 0 0 0 0 0 0 0 0 1

= = = = = = = = =

0 128 192 224 240 248 252 254 255

Alt ağ hesaplaması yapılırken gerek duyulan alt ağ sayısı kriterine göre şu eşitsizliğin sağlanması gerekmektedir. n=alt ağ biti olmak üzere; (2n – 2)≥alt ağ sayısı eşitsizliği sağlayan en küçük n değeri alt ağ bitini verecektir. Aynı şekilde her bir alt ağ için ihtiyaç duyulan kullanıcı kriterine göre benzer bir eşitsizlik kullanılmaktadır. m=uç biti olmak üzere; (2m – 2)≥kullanıcı sayısı eşitsizliği sağlayan en küçük m değeri uç bitini verecektir. Bu eşitsizlikleri örneklerle inceleyelim. Örnek 1: 10.25.125.62 IP adresinin bulunduğu ağ, 14 alt ağa bölünmelidir. Bu IP adresinin bulunduğu alt ağ adresini, bu alt ağın broadcast adresini ve atanabilir ilk ve son IP adreslerini bulunuz. Verilen IP adresinin ilk okteti 1-126 kapalı aralığında olduğu için A sınıfı bir IP adresi olduğuna karar verebiliriz. Dolayısıyla öngörülen maske 255.0.0.0’dır. Yani alt ağ bitleri 2.nci oktetten itibaren başlayacaktır. n=alt ağ biti olmak üzere; (2n – 2)≥14 eşitsizliği sağlayan en küçük n değeri 4’tür. Yani 4 adet alt ağ biti vardır. A sınıfı IP adreslerinde toplam 24 uç biti olduğu için (24-4)=20 adet de uç biti bulunmaktadır. Buna göre elde edilen

137

yeni maske 255.240.0.0’dır. Örneğimizdeki IP adresi 10.25.125.62/12 şeklinde de ifade edilebilir. Tablo 8.9’da görüleceği gibi ağ adresi, maske ile IP adresi arasında “ve” mantıksal işlemi yapılarak bulunmuştur. Hesaplanan ağ adresinin sıfır ‘0’ olan uç bitlerini 1 yaptığınız zaman broadcast adresini elde edeceksiniz. Daha önce de bahsedildiği gibi atanabilir ilk ve son IP adresler de ağ adresi ve broadcast adresi referans alınarak hesaplanabilir. İlk IP adres ağ adresinden bir sonraki adres, son adres ise broadcast adresinden bir önceki adrestir.

IP Adres Alt Ağ Maske Ağ Adresi Broadcast Ad. İlk Adres Son Adres

10’luk düzen 10.25.125.62 255.240.0.0 10.16.0.0 10.31.255.255 10.16.0.1 10.31.255.254

2’lik düzen 00001010 00011001 01111101 11111111 11110000 00000000 00001010 00010000 00000000 00001010 00011111 11111111 00001010 00010000 00000000 00001010 00011111 11111111 Tablo 8.9

00111110 00000000 00000000 11111111 00000001 11111110

Örnek 2: 172.100.2.2 IP adresinin bulunduğu ağ en az 500 kullanıcının bulunduğu alt ağlara bölünmelidir. Bu IP adresinin bulunduğu alt ağ adresini, bu alt ağın broadcast adresini ve atanabilir ilk ve son IP adreslerini bulunuz. Verilen IP adresinin ilk okteti 128-191 kapalı aralığında olduğu için B sınıfı bir IP adresi olduğuna karar verebiliriz. Dolayısıyla öngörülen maske 255.255.0.0’dır. Yani alt ağ bitleri 3.ncü oktetten itibaren başlayacaktır. m=uç biti olmak üzere; (2m – 2)≥500 eşitsizliği sağlayan en küçük m değeri 9’dur. Yani 9 adet uç biti vardır. B sınıfı IP adreslerinde toplam 16 uç biti olduğu için (16-9)=7 adet de alt ağ biti bulunmaktadır. Buna göre elde edilen yeni maske 255.255.254.0’dür. Örneğimizdeki IP adresi 172.100.2.2/23 şeklinde de ifade edilebilir. Tablo 8.10’da diğer hesaplamaları inceleyebilirsiniz.

IP Adres Alt Ağ Maske Ağ Adresi Broadcast Ad. İlk Adres Son Adres

10’luk düzen 172.100.2.2 255.255.254.0 172.100.2.0 172.100.3.255 172.100.2.1 172.100.3.254

2’lik düzen 10101100 01100100 00000010 11111111 11111111 11111110 10101100 01100100 00000010 10101100 01100100 00000011 10101100 01100100 00000010 10101100 01100100 00000011 Tablo 8.10

00000010 00000000 00000000 11111111 00000001 11111110

Örnek 3: 146.52.0.0 ağını minimum 12 alt ağa bölün ve bu alt ağ adreslerini yazınız. Her bir alt ağın broadcast adresini ve atanabilir ilk ve son IP adreslerini bulunuz. Verilen IP adresinin ilk okteti 128-191 kapalı aralığında olduğu için B sınıfı bir IP adresidir. Dolayısıyla öngörülen maske 255.255.0.0’dır. Yani alt ağ bitleri 3.ncü oktetten itibaren başlayacaktır. n=alt ağ biti olmak üzere; (2n – 2)≥12 eşitsizliği sağlayan en küçük n değeri 4’dur. Yani 4 adet alt ağ biti vardır. B sınıfı IP adreslerinde toplam 16 uç biti olduğu için (16-4)=12 adet de uç biti bulunmaktadır. Buna göre elde edilen 138

yeni maske 255.255.240.0’dür. Tablo 8.11’den de fark edeceğiniz gibi alt ağ adresleri 3.ncü oktetin ilk dört bit değerleri artırılarak elde edilmektedir. İlk alt ağ 146.52.0.0 sıfır alt ağ (zero subnet) olarak bilinmektedir. Bu alt ağ sadece ip subnet-zero komutu uygulandıktan sonra kullanılabilir. 146.52.240.0 alt ağı da broadcast alt ağ (broadcast subnet) olarak bilinmektedir. Bu alt ağın broadcast IP adresini hesapladığınız zaman 146.52.0.0 ağın broadcast IP adresi ile aynı olduğunu göreceksiniz. Dolayısıyla sıfır alt ağ ve broadcast alt ağın kullanılmaması tavsiye olunur. Fakat uygun donanım ve yazılımın yanısıra uygun konfigürasyon ile kullanılabilmektedir. DİKKAT: Sıfır alt ağ ve broadcast alt ağ, ağ adresleri ve alt ağların broadcast IP adresleri ile karıştırılmamalıdır. 10’luk düzen 146.52.0.0 255.255.240.0 146.52.0.0 146.52.16.0 146.52.32.0 146.52.48.0 146.52.64.0 146.52.80.0 146.52.96.0 146.52.112.0 146.52.128.0 146.52.144.0 146.52.160.0 146.52.176.0 146.52.192.0 146.52.208.0 146.52.224.0 146.52.240.0

2’lik düzen 00110100 00000000 11111111 11110000 00110100 00000000 00110100 00010000 00110100 00100000 00110100 00110000 00110100 01000000 00110100 01010000 00110100 01100000 00110100 01110000 00110100 10000000 00110100 10010000 00110100 10100000 00110100 10110000 00110100 11000000 00110100 11010000 00110100 11100000 00110100 11110000

10’luk düzen 146.52.0.0 255.255.240.0

10010010 11111111

2’lik düzen 00110100 00000000 11111111 11110000

00000000 00000000

Broadcast

146.52.15.255

10010010

00110100

00001111

11111111

Broadcast

146.52.31.255

10010010

00110100

00011111

11111111

Broadcast

146.52.47.255

10010010

00110100

00101111

11111111

Broadcast

146.52.63.255

10010010

00110100

00111111

11111111

Broadcast

146.52.79.255

10010010

00110100

01001111

11111111

Broadcast

146.52.95.255

10010010

00110100

01011111

11111111

Ağ Adresi Alt Ağ Maske 1.Alt Ağ Adresi 2.Alt Ağ Adresi 3.Alt Ağ Adresi 4.Alt Ağ Adresi 5.Alt Ağ Adresi 6.Alt Ağ Adresi 7.Alt Ağ Adresi 8.Alt Ağ Adresi 9.Alt Ağ Adresi 10.Alt Ağ Adresi 11.Alt Ağ Adresi 12.Alt Ağ Adresi 13.Alt Ağ Adresi 14.Alt Ağ Adresi 15.Alt Ağ Adresi 16.Alt Ağ Adresi

10010010 00000000 11111111 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 10010010 00000000 Tablo 8.11 Yukarıdaki alt ağ adreslerinin uç bitleri olan son 12 bitlerdeki değer 1 yapılarak bütün alt ağların broadcast adresleri hesaplanabilir. Bu değerleri Tablo 8.12’de inceleyebilirsiniz.

Ağ Adresi Alt Ağ Maske 1.Alt Ağ Adresi 2.Alt Ağ Adresi 3.Alt Ağ Adresi 4.Alt Ağ Adresi 5.Alt Ağ Adresi 6.Alt Ağ Adresi

139

7.Alt Ağ Broadcast Adresi 8.Alt Ağ Broadcast Adresi 9.Alt Ağ Broadcast Adresi 10.Alt Ağ Broadcast Adresi 11.Alt Ağ Broadcast Adresi 12.Alt Ağ Broadcast Adresi 13.Alt Ağ Broadcast Adresi 14.Alt Ağ Broadcast Adresi 15.Alt Ağ Broadcast Adresi 16.Alt Ağ Broadcast Adresi

146.52.111.255

10010010

00110100

01101111

11111111

146.52.127.255

10010010

00110100

01111111

11111111

146.52.143.255

10010010

00110100

10001111

11111111

146.52.159.255

10010010

00110100

10011111

11111111

146.52.175.255

10010010

00110100

10101111

11111111

146.52.191.255

10010010

00110100

10111111

11111111

146.52.207.255

10010010

00110100

11001111

11111111

146.52.223.255

10010010

00110100

11011111

11111111

146.52.239.255

10010010

00110100

11101111

11111111

146.52.255.255

10010010

00110100

11111111

11111111

Tablo 8.12 Yukarıdaki örnekler 2’lik sayı düzeni kullanılarak hesaplanmıştır. Aynı örnekleri farklı bir yöntem kullanarak hesaplayalım. Örnek 1: 10.25.125.62 IP adresinin bulunduğu ağ 14 alt ağa bölüneceği için aynı eşitsizliği kullanarak alt ağ maskesi bulunur. Buna göre alt ağ maskesi 255.240.0.0’dır. 255 ve 0 olmayan oktet bizim ilgili olduğumuz oktettir. Bu örnekte 2.nci oktet ilgili olduğumuz oktettir. Buradaki değer 256’dan çıkarılır. (256-240)=16. Verilen IP adresinde ilgili olduğumuz oktetin değeri 25’dir. Daha sonra 16.x ≤ 25 eşitsizliğinde en büyük x değeri bulunur.(x=1) Alt ağ maskesindeki 0 olan oktetler alt ağ adresinde de 0 yapılır. Ayrıca 16.x değeri 2.nci oktete konur. Dolayısıyla alt ağ adresi 10.16.0.0 olur.Broadcast adresinde ise alt ağ maskesinde 0 olan oktetler 255 yapılır. Ayrıca ilgili olduğumuz 2.nci oktet de 16.x > 25 eşitsizliğinde en küçük x değeri bulunur.(x=2) Broadcast adresinde 2.nci oktet 16.x-1 olacaktır. (10.31.255.255) Bu değerlere göre ilk ve son IP adresleri de belirlenir. İlk IP adresi alt ağ adresinden bir sonraki adrestir.(10.16.0.1) Son IP adresi ise broadcast adresinden bir önceki adrestir.(10.31.255.254) Örnek 2: 172.100.2.2 IP adresinin bulunuduğu ağ adresi her biri 500 kullanıcıya sahip alt ağlara bölüneceğinden aynı eşitsizlik kullanılarak alt ağ maskesi bulunur. (255.255.254.0) İlgili olduğumuz oktet bu örnekte 3.ncü oktettir. Bu oktetin değeri 256’dan çıkarılır. (256-254)=2 2.x ≤ 2 eşitsizliğinde en büyük x değeri 1’dir. Dolayısıyla alt ağ adresinde 3.ncü oktet 2.1=2 olacaktır. Alt ağ maskesinde 0 olan oktet alt ağ adresinde de 0 olarak kalacaktır. Böylece elde edilen alt ağ adresi 172.100.2.0 olacaktır. Broadcast adresinde ise 3.ncü oktet 2.x > 2

140

eşitsizliğinde en küçük x değeri bulunarak 2.x-1 değeri yazılır. (x=2) Broadcast adresinin 3.ncü okteti 2.2-1=3’tür. Alt ağ maskesinde 0 olan oktetler broadcast adresinde 255 olarak değiştirilmektedir. Böylece broadcast adresi 172.100.3.255 olacaktır. Alt ağ adresi ve broadcast adresi referans kabul edilerek atanabilir ilk ve son IP adresi belirlenir. Buna göre ilk IP adresi alt ağ adresinden bir sonraki adrestir.(172.100.2.1) Son IP adresi ise broadcast adresinden bir önceki adrestir.(172.100.3.254) Örnek 3: 146.52.0.0 ağı minimum 12 alt ağa bölüneceği için aynı eşitsizlik kullanılarak alt ağ maskesi hesaplanır.(255.255.240.0) İlgili olduğumuz oktet 3.ncü oktettir. Alt ağ maskesinin 3.ncü oktet değeri 256’dan çıkarılır.(256-240=16) Daha sonra 146.52.0.0 ağından başlayarak 3.ncü oktetin değeri 16 sayı artırılarak bütün alt ağ adresleri hesaplanır. 146.52.0.0 146.52.16.0 146.52.32.0 146.52.48.0 146.52.64.0 146.52.80.0 146.52.96.0 146.52.112.0

146.52.128.0 146.52.144.0 146.52.160.0 146.52.176.0 146.52.192.0 146.52.208.0 146.52.224.0 146.52.240.0

Her bir alt ağın broadcast IP adresini ağ adreslerini kullanarak hesaplayabiliriz.Yukarıda sırayla yazılı olan ağ adreslerinde ilgili olduğumuz oktetin (bu örnekte 3.ncü oktet) değerini 1 azaltarak bir önceki ağın broadcast IP adresini bulabiliriz. Tabii ki ağ adresinde uç bitindeki 0 değeri 255 yapılacaktır. 146.52.15.255 146.52.31.255 146.52.47.255 146.52.63.255 146.52.79.255 146.52.95.255 146.52.111.255 146.52.127.255

146.52.143.255 146.52.159.255 146.52.175.255 146.52.191.255 146.52.207.255 146.52.223.255 146.52.239.255 146.52.255.255

Yine her bir alt ağın atanabilir ilk ve son IP adresleri ağ adresleri ve broadcast IP adresleri kullanılarak hesaplanabilir. Buna göre ilk IP adresi ağ adresinden bir sonraki adres, son IP adresi ise broadcast IP adresinden bir önceki adrestir. 146.52.0.1-146.52.15.254 146.52.16.1-146.52.31.254 146.52.32.1-146.52.47.254 146.52.48.1-146.52.63.254 146.52.64.1-146.52.79.254 146.52.80.1-146.52.95.254 146.52.96.1-146.52.111.254 146.52.112.1-146.52.127.254

146.52.128.1-146.52.143.254 146.52.144.1-146.52.159.254 146.52.160.1-146.52.175.254 146.52.176.1-146.52.191.254 146.52.192.1-146.52.207.254 146.52.208.1-146.52.223.254 146.52.224.1-146.52.239.254 146.52.240.1-146.52.255.254

8.1.2. IP Yapılandırması Herhangi bir organizasyonun Internete açık bir şekilde bilgisayarlarını kullanma isteği 1990’lı yıllara kadar bir problem oluşturmuyordu. Daha önce de bahsedildiği gibi maksimum 232 adet IPv4 adresleri atanabilmektedir. Internette IPv4 adresleri kullanıldığı için bu adresler

141

1990’lı yılların ortalarına doğru tükenmeye başladı. IP adresinin tükenmesi ve bu tarihten sonra organizasyonların Internete açılamaması Internetin genişlemesini engellemiştir. Bu probleme 4 farklı çözüm sunulmaktadır. Bunlar; 9 9 9 9

IP versiyon 6 (IPv6) Sınıfsız Etki Alanları Arası Yönlendirme (Classless Interdomain Routing-CIDR) Özel Adresleme (Private Addressing) Ağ Adres Dönüşümü (Network Address Translation-NAT)

8.1.2.1. IP Versiyon 6 IPv6, IPv4 adreslerindeki atanabilir IP adreslerinden çok daha fazla IP adreslemenin yapılmasını mümkün hale getirerek bahsedilen problemi çözmektedir. Aslında IP versiyon 5 de geliştirilmiş fakat araştırma amaçlı kalmış olup hiçbir zaman standartları yayınlanmamıştır. IPv6 başlığı yeni bir formata sahiptir. IPv6, 128 bitlik adres kullanır. 16 bitlik 8 oktetten oluşmaktadır. Her bir oktet, 4 hexadesimal sayı ile ifade edilir. Toplam 3,4x1038 farklı IPv6 adresi bulunmaktadır. Ayrıca IPv4’de IPSec opsiyonel iken IPv6’da bu kesinlikle olmak zorundadır. 8.1.2.2. Sınıfsız Etki Alanları Arası Yönlendirme (Classless Interdomain Routing-CIDR) RFC 1817 standardı ile tanımlanan CIDR, birçok ağ adresini tek ağ adresi olarak tanımlama metodudur. Özellikle Internet yönlendiricilerinde etkili bir şekilde kullanılmaktadır. Daha önce bahsedildiği gibi A, B ve C sınıfı IP adreslerinden toplam olarak 27+214+221-6 ağ adresi bulunmaktadır. Bütün bu ağ adreslerinin Internet yönlendiricilerinin yönlendirme tablosunda olması gerekmektedir. Dolayısıyla Internet yönlendicilerinin, yönlendirmek üzere aldıkları IP paketinin hedef adresinin yönlendirme tablosunda araştırılması ve yönlendirilmesi ciddi bir yük oluşturacaktır. Internet yönlendiricilerinin yönlendirme tablosundaki ağ adreslerinin sayısını azaltmak için CIDR metodu kullanılmaktadır. CIDR, ip classless komutu ile aktif hale getirilmektedir. Yapılan işlem bir çok ağ adresini tek bir ağ adresi olarak ifade edebilmektedir. Daha önce bir ağ adresini bir çok alt ağ adresi olarak ifade etmeye alt ağlara bölme (subnetting) olarak tanımlanmıştı. Bunun tam tersi olan bir çok ağ adresini tek bir ağ adresi olarak ifade etmeye de üst ağlar oluşturma (supernetting) olarak tanımlanır. Üst Ağlar Oluşturma Bir ağ adresini alt ağlara bölerken ağ IP adresinin uç bitinden ihtiyaç olduğu kadarıyla alt ağlar için kulanılmaktaydı. Üst ağlar oluşturulurken kaç tane ağ birleştirilecek ise o kadar bit ağ bitlerinden alınmaktadır. Bunu bir örnekle inceleyelim.

Ağ Adresi Alt Ağ Maske 1.Alt Ağ Adresi 2.Alt Ağ Adresi 3.Alt Ağ Adresi 4.Alt Ağ Adresi 5.Alt Ağ Adresi 6.Alt Ağ Adresi 7.Alt Ağ Adresi

10’luk düzen 192.168.0.0 255.255.248.0 192.168.0.0 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0 192.168.5.0 192.168.6.0

11000000 11111111 11000000 11000000 11000000 11000000 11000000 11000000 11000000

142

2’lik düzen 10101000 00000000 11111111 11111000 10101000 00000000 10101000 00000001 10101000 00000010 10101000 00000011 10101000 00000100 10101000 00000101 10101000 00000110

00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000

8.Alt Ağ Adresi

192.168.7.0

11000000 10101000 Tablo 8.13

00000111

00000000

Tablo 8.13’de görüldüğü gibi C sınıfı bir ağ adresinin maskesinin ağ bitlerinden bir kısmı alınmıştır. C sınıfı IP adresinin öngörülen alt ağ maskesi 255.255.255.0 olması gerekirken 3.ncü oktetten 3 bit alınmıştır. Dolayısıyla 192.168.0.0/21 ağ adresi tabloda görüldüğü gibi aslında 8 farklı ağ adresini ifade etmektedir. Tabloda belirtilen alt ağlardan herhangi biri ile alt ağ maskesi arasında mantıksal “ve” işlemi yapıldığında 192.168.0.0 ağ adresi elde edilecektir. Böylelikle Internet Servis Sağlayıcılarının (ISS) kullandıkları yönlendiriciler de yönlendirme tablolarındaki rotalar azaltılabilmektedir. 8.1.2.3. Özel Adresleme (Private Addressing) Internette kullanılan IP adreslerinin kısıtlı olması nedeniyle IP adreslerinin kullanımı önem kazanmıştır. Bir organizayonun Internete bağlanmama durumunda organizasyon içersinde A, B ve C sınıfı IP adreslerinden herhangi birini kullanarak IP yapılandırılması yapılabilmektedir. Fakat organizasyonların Internete açılmak istemesi durumunda ise karşımıza IP adresinin yetersizliği sorun olarak çıkmaktadır. Bu nedenle A, B ve C sınıfından bazı ağ adresleri organizasyon içinde kullanılmak üzere ayrılmıştır. Bu adresler hiç birşekilde Internette kullanılmamaktadır. Bu adresler Tablo 8.14’de görülmektedir. Ağ Adresi

Sınıfı

Ağ Sayısı

Atanabilir IP adresleri

10.0.0.0

A

1

10.0.0.1-10.255.255.254

172.16.0.0 172.17.0.0 ……….. 172.30.0.0 172.31.0.0 192.168.0.0 172.168.1.0 ……….. 192.168.254.0 192.168.255.0

B

16

C

256

172.16.0.1-172.16.255.254 172.17.0.1-172.17.255.254 ………….. 172.30.0.1-172.30.255.254 172.31.0.1-172.31.255.254 192.168.0.1-192.168.0.254 192.168.1.1-192.168.1.254 ………… 192.168.254.1-192.168.254.254 192.168.255.1-192.168.255.254

Tablo 8.14 Internete mümkün olduğu kadar çok organizasyonun bağlanabilmesi için ayrılan bu ağ adreslerinden biri kullanılabilmektedir. Böylece Internet gün geçtikçe büyümektedir. Fakat bu özel adresler tek başına bu probleme çözüm sunmamaktadır. Bu özel adreslerin Ağ Adres Dönüşümü (Network Address Translation-NAT) ile beraber uygulanması gerekmektedir. 8.1.2.4. Ağ Adres Dönüşümü (Network Address Translation) Ağ Adres Dönüşümü, RFC tanımlı organizasyon içindeki gerçek IP adresi konfigüre edilmemiş bilgisayarlar ile Internet arasındaki geçişi sağlayan ve yönlendiricinin işletim sistemi üzerinde çalışan bir uygulamadır. Organizasyon içinde daha önce bahsedildiği gibi özel adresler kullanılabilmektedir. Çok geniş özel ağlarda NAT uygulamasının kullanılması tavsiye edilmemektedir.

143

192.168.10.1 Web Sunucu

NAT Intranet

Internet 170.1.1.1 www.cisco.com

212.17.32.4 İstemci 192.168.10.5 Kaynak

Hedef

192.168.10.5

170.1.1.1

Hedef

Kaynak

170.1.1.1

192.168.10.5

DATA

DATA

Kaynak

Hedef

212.17.32.4

170.1.1.1

Hedef

Kaynak

212.17.32.4

170.1.1.1

DATA

DATA

Şekil 8.1 (Ağ Adres Dönüşümü) NAT uygulamasında 4 farklı tanım vardır. Bunlar; 9 9 9 9

İçerde lokal (inside local): Organizasyon içindeki bilgisayar (192.168.10.5) İçerde global (inside global): Internete açılan yönlendiricinin Internete bağlanan ara yüzü (212.17.32.4) Dışarıda lokal (outside local): Internete açılan yönlendiricinin organizasyon içine bağlanan ara yüzü (192.168.10.1) Dışarıda global (outside global): Organizasyon dışındaki bilgisayar (170.1.1.1)

8.2. IP KONFİGÜRASYONU Tablo 8.15’de görülen komutlar temel IP konfigürasyonunda en sık kullanılan komutlardır. ip address komutu arayüz modunda iken bulunduğunuz ara yüze IP adresi atamak için kullanılmaktadır. Eğer atayacağınız IP adresi ikincil IP adresi ise alt ağ maskesinden sonra secondary yazmak gerekmektedir. Ağda bulunan herhangi bir sunucunun veya istemci bilgisayarın IP adreslerini isimlerle ilişkilendirmek için ip host komutu kullanılmaktadır. Böylelikle devamlı olarak ping, trace ve telnet komutları kullanılan bu bilgisayarların IP adreslerini ezberlemek zorunda kalmaksızın bu komutlar kullanılmaktadır. Statik olarak bir rota girmek istediğiniz zaman ip route komutu kullanılmaktadır. Yönlendiricinin isim çözümlemesi yapmasını istediğiniz zaman kullanacağı DNS sunucuların IP adresleri ip name-server komutu ile konfigürasyon edilmektedir. KOMUT

MOD

ip address ip-adres maske [secondary]

Ara yüz

ip host ad [tcp-port-numarası] adres1[adres2...adres8]

Global

ip route önek maske {bir-sonraki-yönlendirici|çıkış arayüzü}

Global

ip name-server sunucu-adres1 [[sunucuadres2]…sunucu-adres6]

Global

ip domain-lookup

Global

ip routing

Global

ip netmask-format {bitcount | decimal | hexadecimal}

Ara yüz

ip default-network ağ

Global

ip classless

Global

144

Tablo 8.15 (IP Konfigürasyonu) Konfigüre ettiğiniz yönlendiricinin isim çözümlemesini bir önceki komutla belirlediğiniz DNS sunucular ile yapmasını istiyorsanız ip domain-lookup komutunu kullanabilirsiniz. Yönlendiriciler birden fazla mantıksal adres (IP, IPX vb.) yönlendirmesi yapabilmektedirler. Öngörüldüğü şekliyle IP yönlendirmesi yapmakla beraber herhangi bir sebepten dolayı kaldırılmış bu konfigürasyonu ip routing komutu ile yeniden başlatabilirsiniz. Herhangi bir ara yüz modunda iken bulunduğunuz arayüzün alt ağ maskesinin yapısını ip netmask-format komutu ile bit, 10’luk sayı düzeninde veya hexadesimal sayı olarak değiştirebilirsiniz. Yönlendirici aldığı paketi hedef ağ adresini yönlendirme tablosunda bulamadığı zaman paketi göndermek istediğiniz ağı ip default-network komutu ile belirleyebilirsiniz. Yönlendirici aldığı paketin ağ adresini hesaplarken IP adreslerin öngörülen alt ağ maskelerini kullanmaktadır. Fakat yönlendiricinin yönlendirme tablosunda farklı alt ağ maskelerini içeren aynı sınıf ağ adresleri olduğu zaman yönlendirme gerçekleştirmeyecektir. Öngörülen alt ağ maskelerini ihmal etmek için ip classless komutu kullanılmaktadır. Bütün bu komutları bir örnekle inceleyelim.

10.0.1.0 / 24

S1 10.0.4.0 / 24

S0 Ankara

S1

İstanbul S0 10.0.5.0 / 24

S0

10.0.6.0 / 24

İzmir S1

10.0.2.0 / 24

Şekil 8.2 (IP Konfigürasyonu) Istanbul#conf term Istanbul(config)#interface e0 Istanbul(config-if)#ip address 10.0.1.1 255.255.255.0 Istanbul(config-if)#interface s0 Istanbul(config-if)#ip address 10.0.5.1 255.255.255.0 Istanbul(config-if)#interface s1 Istanbul(config-if)#ip address 10.0.4.1 255.255.255.0 Istanbul(config-if)#exit Istanbul(config)#ip name-server 10.0.1.5 10.0.2.5 Istanbul(config)#ip domain-lookup Istanbul(config)#exit Istanbul#show running-config Building configuration... Current configuration: ! version 11.2 hostname Istanbul ! enable secret 5 $1$skrN$z4oq6OHfB6zu1WG4P/6ZY0

145

10.0.3.0 / 24

! ip name-server 10.0.1.5 ip name-server 10.0.2.5 ! interface Serial0 ip address 10.0.5.1 255.255.255.0 ! interface Serial1 ip address 10.0.4.1 255.255.255.0 ! interface Ethernet0 ip address 10.0.1.1 255.255.255.0 ! no ip classless banner motd ^C Bu Yönlendirici Istanbul merkez şubedir. ^C ! line con 0 password cisco login line aux 0 line vty 0 4 password cisco login ! end Yapılan IP konfigürasyonunu görüntülemek için Tablo 8.16’da görülen komutlar kullanılmaktadır. KOMUT

AÇIKLAMA

show hosts

Host adlarını ve IP adreslerini listeler.

show interfaces [tip no]

Ara yüz istatistiklerini ve IP adreslerini listeler.

show ip interface [tip no]

Belirtilen ara yüzün IP adresini ve IP parametrelerini listeler.

show ip interface brief

Bütün ara yüzlerin IP adreslerini kısaca listeler.

show ip route [subnet]

Yönlendirme tablosunu listeler.

show ip arp

IP ARP önbelleğini gösterir.

debug ip packet

Her IP paketi bilgilerini tutar.

terminal ip netmask-format {bitcount |decimal |hexadecimal}

Alt ağ maskesinin hangi tipte göstereceğini belirtir.

ping

Bağlantıyı onaylamak için ICMP yankı mesajı gönderir.

trace

Bağlantı kurulacak bilgisayara yolu öğrenmek üzere TTL değerini artırarak UDP paketleri gönderilir.

Tablo 8.16 (IP Konfigürasyonu Görüntüleme)

146

Aşağıdaki örnekte show ip route komutu ile İstanbul yönlendiricisinin yönlendirme tablosundaki rotalar görüntülenmiştir. Bu ağ adresleri daha sonra bahsedileceği üzere network komutu ile konfigüre edilmektedir. Aynı örnekte kullanılan terminal ip netmask-format decimal komutu ile alt ağ maskeleri 10’luk sayı düzeninde görüntülenmektedir. Istanbul#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set 10.0.0.0/24 is subnetted, 3 subnets C 10.0.1.0 is directly connected, Ethernet0 C 10.0.4.0 is directly connected, Serial1 C 10.0.5.0 is directly connected, Serial0 Istanbul#terminal ip netmask-format decimal Istanbul#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set 10.0.0.0 255.255.255.0 is subnetted, C 10.0.1.0 is directly connected, C 10.0.4.0 is directly connected, C 10.0.5.0 is directly connected, Istanbul#

3 subnets Ethernet0 Serial1 Serial0

Aşağıdaki örnekte Şekil 8.2’de Ankara yönlendiricisinin ara yüzleri hakkında kısa bilgiyi show ip interface brief komutu ile görüntülenmektedir. Ayrıca yönlendiricinin ARP önbelleğinde bulunan adresler show ip arp komutu ile görüntülenmektedir. Ankara#show ip interface brief Interface Serial0 Serial1 Ethernet0

IP-Address 10.0.4.2 10.0.6.2 10.0.2.1

Ankara#show ip arp Protocol Address Internet 10.0.3.10 Internet 10.0.3.13

OK? YES YES YES Age (min) 0 -

Method manual manual manual

Status up up up

Hardware Addr 0060.9c65.1321 0000.0b3d.5653

147

Protocol up up up Type Interface ARPA Ethernet0 ARPA Ethernet0

Aşağıdaki örnekte iki farklı şekilde ara yüz hakkında bilgi alınabilmektedir. show ip interface komutu ile IP konfigürasyonu hakkında daha detaylı bilgi, show interface komutu ile ise ara yüz hakkında genel bilgiler alınabilmektedir. Izmir#show ip interface serial 1 Serial1 is up, line protocol is up Internet address is 10.0.6.1/24 Broadcast address is 255.255.255.255 Address determined by nonvolatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled Web Cache Redirect is disabled BGP Policy Mapping is disabled Izmir#show interface serial 0 Serial0 is up, line protocol is up Internet address is 10.0.5.2/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation HDLC, loopback not set, keepalive set (10 sec) Last input 00:00:05, output 00:00:04, output hang never Last clearing of “show interface” counters never Queuing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 273 packets input, 18621 bytes, 0 no buffer Received 215 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 309 packets output, 20175 bytes, 0 underruns 0 output errors, 0 collisions, 23 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions

148

DCD=up DSR=up DTR=up RTS=up CTS=up Yönlendirici üzerinde herhangi bir istatistik bilgisi almak istediğinizde debug komutu kullanılmaktadır. Aşağıdaki örnekte debug ip packet komutu ile yönlendirici üzerinden geçen IP paketleri hakkında bilgi alınabilmektedir. Izmir#debug ip packet IP packet debugging is on Izmir#ping 10.0.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.5.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 80/81/84 ms Izmir# 00:09:38: IP: s=10.0.5.2 (local), d=10.0.5.1 (Serial1), len 100, sending 00:09:38: IP: s=10.0.5.1 (Serial1), d=10.0.5.2 (Serial1), len 100, rcvd 3 00:09:38: IP: s=10.0.5.2 (local), d=10.0.5.1 (Serial1), len 100, sending 00:09:38: IP: s=10.0.5.1 (Serial1), d=10.0.5.2 (Serial1), len 100, rcvd 3 00:09:38: IP: s=10.0.5.2 (local), d=10.0.5.1 (Serial1), len 100, sending 00:09:38: IP: s=10.0.5.1 (Serial1), d=10.0.5.2 (Serial1), len 100, rcvd 3 00:09:38: IP: s=10.0.5.2 (local), d=10.0.5.1 (Serial1), len 100, sending 00:09:38: IP: s=10.0.5.1 (Serial1), d=10.0.5.2 (Serial1), len 100, rcvd 3 00:09:38: IP: s=10.0.5.2 (local), d=10.0.5.1 (Serial1), len 100, sending 00:09:38: IP: s=10.0.5.1 (Serial1), d=10.0.5.2 (Serial1), len 100, rcvd 3 Izmir# Aşağıdaki örnekte de görüldüğü gibi ping komutu herhangi bir mantıksal adrese sahip bir bilgisayar ile bağlantının varlığını belirlemek için kullanılmaktadır. Bu komuta genişletilmiş ping versiyonu (extended ping version) denir. Bu versiyon ile siz kaynak mantıksal adresini ve daha bir çok parametreyi değiştirebilirsiniz. Yukarıdaki örnekte ise ping komutu IP adresi ile birlikte kullanılınca başka soru sormadan öngörülen parametreler ile komut uygulanmaktadır. Istanbul#ping Protocol [ip]: Target IP address: 10.0.2.2 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.0.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. İki bilgisayar arasındaki bağlantının durumu hakkında bilgi edinmek için kullanılan ping komutu uygulandığında bazı işaretler ekranda görüntülenecektir. Bu işaretlerin belli anlamları bulunmaktadır. Bu işaretlerin anlamlarını Tablo 8.17’de inceleyebilirsiniz.

149

İşaret

Açıklama

!

ICMP yankı cevabı alındı.

.

Hiçbir şey alınmadı.

?

Bilinmeyen bir paket alındı.

M

Parçalanamaz ICMP mesajı alındı.

Q

Kaynağın data gönderme hızını yavaşlatması için ICMP mesajı alındı. (Source Quench)

N

Hedef ağa ulaşılamıyor ICMP mesajı alındı.

U

Hedef bilgisayara ulaşılamıyor mesajı alındı.

P

Hedef bilgisayarın portuna ulaşılamıyor mesajı alındı.

Tablo 8.17 (Ping İşaretleri) Bir organizasyonda IP yapılandırması organizasyondaki bilgisayar sayısındaki büyüme hızı dikkate alınmadan yapıldığında birçok problemlerle karşılaşılabilmektedir. Bu problemlerden biri organizasyon içinde kullanılan ağ adresindeki atanabilecek IP adreslerinin tükenmesidir. Bu problem 3 farklı şekilde çözümlenebilir. Bunlar; 9

Daha önce bahsedildiği gibi IP üst ağlar oluşturmak için ağ bitlerinden ihtiyaç duyulduğu kadar almaktır. Örneğin; 10.0.2.0 255.255.255.0 (10.0.2.0/24) ağında atanabilecek IP adresleri 10.0.2.1’den 10.0.2.255’e kadar değişmektedir. Daha fazla IP adresine ihtiyaç duyulduğunda 10.0.2.0 255.255.254.0 (10.0.2.0/23) ağı kullanılabilir. Bu ağ adresinde atanabilecek IP adresleri 10.0.2.1’den 10.0.3.254’e kadar değişmektedir.

9

IP sınıfı değiştirilerek daha geniş atanabilecek IP adresi içeren ağ adresi kullanılabilir. Bu da bütün bilgisayarların IP adreslerinin tek tek değiştirilmesi demektir. Bu da ayrı bir iş yükü getirecektir.

9

Mevcut bulunan ağda herhangi bir değişiklik yapmadan yeni bir ağ adresi kullanarak ağa yeni katılan bilgisayarlara IP adresi atanabilir. Örneğin; 10.0.2.0/24 ağının IP adresleri bittiğinde farklı bir ağ adresi 10.0.5.0/24 kullanılarak IP adresleri atanır. Bu çözümde yönlendiricinin lokal ağa bakan ara yüzüne ikinci bir IP adresi atanmalıdır. Yönlendiricinın arayüzüne yapılacak konfigürasyonu aşağıda inceleyebilirsiniz.

Ankara#interface e0 Ankara#ip address 10.0.2.1 255.255.255.0 Ankara#ip address 10.0.5.1 255.255.255.0 secondary Ankara#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set C C C

10.0.0.0/24 is subnetted, 4 subnets 10.0.2.0 is directly connected, Ethernet0 10.0.5.0 is directly connected, Ethernet0 10.0.6.0 is directly connected, Serial1

150

C 10.0.4.0 is directly connected, Serial0 Ankara# Bir yönlendiricinin arayüzünden gönderilecek maksimum 3.ncü katman paketinin büyüklüğüne Maksimum Tranmisyon Birimi (Maximum Transmission Unit-MTU) denmektedir. Bu büyüklük 2.nci katmanda kullanılan protokole bağlı olarak değişmektedir. Maksimum Transmisyon Biriminin değeri, Data Link katmanındaki data kısmının büyüklüğünü ifade etmektedir. MTU değeri belirlenecek ara yüz modunda iken mtu ve ip mtu komutları kullanılarak bu değer atanmaktadır. Mtu komutu bütün 3.ncü katman MTU değerlerini belirlemede, ip mtu ise sadece IP paketleri için MTU değerini belirlemede kullanılmaktadır. Eğer ip mtu komutu mtu komutundan önce konfigüre edilmişse, mtu komutundaki değer IP paketleri için MTU değeri olacaktır. Fakat sonra konfigüre edilmişse ip mtu komutundaki değer sadece IP paketleri için değiştirilecektir. Eğer yönlendirici, paketi göndereceği arayüzün MTU değerinden daha büyük bir paket almışsa bu paketin daha küçük parçalara bölünerek herbir parçanın gönderilecek ara yüzün MTU değerinden küçük hale getirilmesi gerekmektedir. Bu bölme işlemine fragmentasyon (fragmentation) denir. Yönlendiriciye isim vermek için hostname komutu kullanılmaktadır. Verilen bu isim, IP adresi yerine kullanılabilmektedir. Ayrıca ağda kullanılan diğer yönlendirici, anahtar ve uzaktan yönetime ihtiyaç duyulan aktif cihazların isimleri, IP adresleri ile ilişkilendirilerek yönlendiricinin işletim sistemine tanımlanmaktadır. Bu tanımlama ip host komutu ile gerçekleştirilmektedir. Ayrıca ip domain-name komutu ile yönlendiricinin işletim sistemine ip host komutu ile tanımlanan isimler için kabul edilecek etki alanı ismi girilmektedir. Ip name-server komutu ile isim çözümlemesi yapan sunucular tanımlanmakta olup ip domain-lookup komutu ile isim çözümlemesi yapılıp yapılmayacağı belirlenmektedir. Router#hostname Istanbul ! Istanbul#ip host IstanbulEthernet 10.0.1.1 Istanbul#ip host AnkaraEthernet 10.0.2.1 Istanbul#ip host IzmirEthernet 10.0.3.1 ! Istanbul#ip domain-name cisco.com Istanbul#ip name-server 10.1.1.51 10.2.2.51 Istanbul#ip domain-lookup Istanbul#show hosts Default domain is cisco.com Name/address lookup uses static mappings Host IstanbulEthernet AnkaraEthernet IzmirEthernet Istanbul#

Flags (perm, OK) (perm, OK) (perm, OK)

Age 0 0 0

Type IP IP IP

Address(es) 10.0.1.1 10.0.2.1 10.0.3.1

Şekil 8.3’de görüldüğü gibi 192.168.2.0 ağı, ağın diğer bölümlerine sadece bir yolla bağlantı kurulmuştur. Bu tür ağlara güdük ağ (stub network) denmektedir. Dolayısıyla 192.168.2.0 ağı güdük ağdır. Güdük ağdaki herhangi bir bilgisayar, bulundukları segmentin dışına bir datayı B yönlendiricisi aracılığıyla gönderirler. Ağın diğer kısımlarına gidiş tek bir rota üzerinden olduğu için B yönlendiricisi aldığı bütün paketleri hep aynı ara yüzden

151

göndermektedir. İşte bu tip durumlarda öngörülen rota kullanılabilir. Ayrıca eğer yönlendirici, aldığı paketin gideceği ağı kendi yönlendirme tablosunda bulamazsa bu paketin yok edilmemesi için yönlendiricide öngörülen rota belirlenerek bütün paketler aynı arayüzden yönlendirilebilir. C 192.168.3.1

A 192.168.4.0 / 24 192.168.3.2

B

D 192.168.2.0 / 24

Şekil 8.3 RouterB(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2 RouterB(config)#exit RouterB#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is 192.168.3.2 to network 0.0.0.0 C 192.168.2.0 is directly connected, Ethernet0 R 192.168.4.0 [120/1] via 192.168.3.2, 00:00:05, Serial0 C 192.168.3.0 is directly connected, Serial0 S* 0.0.0.0/0 [1/0] via 192.168.3.2 RouterB# RouterA#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is 192.168.3.1 to network 0.0.0.0 C 192.168.4.0 is directly connected, TokenRing0 R 192.168.2.0 [120/1] via 192.168.3.1, 00:00:25, Serial0 C 192.168.3.0 is directly connected, Serial0 R* 0.0.0.0/0 [120/1] via 192.168.3.1, 00:00:17, Serial0 RouterA# Örneklerde görüldüğü gibi öngörülen rota ip route 0.0.0.0 0.0.0.0 (IP adres) komutuyla konfigüre edilmektedir. Komuttaki ilk 0.0.0.0 hedef ağ adresini ikinci 0.0.0.0 ise ağ maskesini ifade etmektedir. IP adres ise hedef ağ adresi, yönlendirme tablosunda bulunamadığı zaman gönderilecek yönlendiricinin arayüz adresidir. Yönlendirici aldığı paketin gideceği hedef

152

ağını bulamazsa ve yönlendirme tablosunda da öngörülen rota yoksa alınan bu paket yok edilecektir. Öngörülen rota konfigüre edilse bile bazen alınan paketin hedef ağ adresi yönlendirme tablosunda bulunamazsa paket yine yok edilecektir. Bunu bir örnekle açıklayalım. Şekil 8.4’deki ağda B yönlendiricisinin konfigürasyonu aşağıdaki gibi olursa bazı problemlerle karşılaşılır. RouterB(config)#int E0 RouterB(config-if)#ip address 10.0.1.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#ip address 10.0.2.1 255.255.255.0 RouterB(config-if)#exit RouterB(config)#ip route 0.0.0.0 0.0.0.0 10.0.2.2 RouterB(config)#no ip classless RouterB(config)#exit RouterB#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is 10.0.2.2 to network 0.0.0.0 C 10.0.1.0 is directly connected, Ethernet0 C 10.0.2.0 is directly connected, Serial0 S* 0.0.0.0/0 [1/0] via 10.0.2.2 RouterB# Eğer 10.0.1.0/24 ağına bağlı bir bilgisayar, 10.0.1.0/24 ve 10.0.2.0/24 ağından herhangi bir cihazla iletişim kurmak isterse herhangi bir problem yaşamaz. Çünkü bu ağlara ait bilgiler B’nin yönlendirme tablosunda bulunmaktadır. Eğer aynı bilgisayar, İnternete veya 10.0.0.0/8 ağı ve subnetlerinin dışındaki herhangi bir özel ağa ulaşmak isterse yine problemsiz olarak iletişim kurabilir. (İnternet erişiminin D yönlendiricisi üzerinden gerçekleştiğini varsayalım.) Çünkü paketin hedef adresi yönlendirme tablosunda bulunamayacak ve öngörülen rota üzerinden paket A yönlendiricisinin 10.0.2.2 arayüzüne gönderilecektir. Fakat 10.0.1.0/24 ağındaki bilgisayar, 10.0.0.0/8 ağının 10.0.1.0/24 ve 10.0.2.0/24 subnetlerinden başka bir subnete ulaşmak istediğinde B yönlendiricisi bu paketi nereye yönlendireceğini bilemeyecek ve paketi yok edecektir. Çünkü yönlendiriciler, herhangi bir sınıf IP adresi subnetlere bölündüğünde bu subnetlerin yönlendirme tablosunda olacağını düşünür ve yönlendirme işlemini bu tablodaki bilgilere göre gerçekleştirir. Eğer subnetlerden biri veya birkaçı yönlendirme tablosunda yok ise bu subnetlere ulaşmak isteyen paketler yok edilir.

153

10.0.4.0 / 24

C 10.0.3.0 / 24 10.0.2.2

Ethernet

10.0.2.1

A

B

D 10.0.1.0 / 24

Şekil 8.4 (Telnet) Dolayısıyla örnekte 10.0.1.0/24 subnetinden 10.0.3.0/24 ve 10.0.4.0/24 subnetlerine ulaşmak isteyen bütün paketler B yönlendiricisi tarafından yok edilecektir. Bu durumu ortadan kaldırmak için no ip classless komutu yerine ip classless komutu konfigüre edilmelidir. Aynı problemle ağda supernet yapıldığında da karşılaşılmaktadır. Eğer superneti oluşturan ağlardan herhangi biri yönlendirme tablosunda yoksa mutlaka ip classless komutu konfigüre edilmelidir. Öngörülen rota ip default-network komutuyla da konfigüre edilebilmektedir. Şekil 8.3’deki örnekte 192.168.4.0 ağında bulunan yönlendiricilerden birine bağlı A,B veya C sınıfı bir ağ adresinin alt ağları bulunduğunu varsayalım. Örneğin 10.0.0.0 ağının alt ağları C yönlendiricisine direkt bağlı olduğunu düşünelim. ip default-network 10.0.0.0 komutuyla öngörülen rota olarak 10.0.0.0 ağının rotası belirtilmektedir. Yani 10.0.0.0 ağına giden rota ile yönlendirme tablosunda hedef ağın bulunamadığı durumlarda kullanılacak rota aynıdır. RouterA(config)#ip default-network 10.0.0.0 RouterA(config)#exit RouterA#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is 192.168.3.2 to network 10.0.0.0 C 192.168.5.0 is directly connected, Ethernet0 R 192.168.2.0 [120/1] via 192.168.3.1, 00:00:05, Serial0 C 192.168.4.0 is directly connected, TokenRing0 C 192.168.3.0 is directly connected, Serial0 R* 10.0.0.0/8 [120/1] via 192.168.4.2, 00:00:03, TokenRing0 RouterA# RouterB#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR

154

Gateway of last resort is 192.168.3.2 to network 0.0.0.0 C 192.168.2.0 is directly connected, Ethernet0 R 192.168.4.0 [120/1] via 192.168.3.2, 00:00:25, Serial0 C 192.168.3.0 is directly connected, Serial0 R 10.0.0.0/8 [120/1] via 192.168.3.2, 00:00:13, Serial0 R* 0.0.0.0/0 [120/1] via 192.168.3.2, 00:00:13, Serial0 RouterB# B yönlendiricisinin yönlendirme tablosunda öngörülen rota olarak 0.0.0.0 ağının gösterilmesi RIP protokolünden dolayıdır. RIP protokolü ip default-network komutuyla yazılı olan ağı 0.0.0.0 olarak duyurur. IGRP veya EIGRP kullanılmış olsaydı 10.0.0.0 ağı öngörülen rota olarak duyurulacaktı. 8.2.1. Telnet Ağınızda birden fazla anahtar ve yönlendirici bulunuyorsa bütün bu ağ cihazlarının yönetimi için telnet uygulaması kullanılmaktadır. Cisco IOS telnet sunucuyu çalıştırmaktadır. Eğer bilgisayarınızdan yönlendirici ve anahtarlara telnet ile bağlanacaksanız aynı anda birden fazla pencere açıp bu cihazlara bağlanıp konfigürasyon yapabilirsiniz. Şekil 8.5’de görüldüğü gibi önce C bilgisayarından Ankara yönlendiricisine telnet bağlantı kuralım. Ankara yönlendiricisine telnet ile bağlı bulunduğumuz halde İstanbul yönlendiricisine telnet ile bağlanalım. Daha sonra İstanbul yönlendiricisine yapmış olduğumuz bağlantıyı askıya alarak İzmir yönlendiricisine telnet ile bağlanalım. Telnet bağlantılarını CTRL+SHIFT+6 ve X tuşlarını hep birlikte kullanarak askıya alabilirsiniz. Telnet ile bağlı olduğunuz yönlendiricinin telnet bağlantılarını show sessions veya where komutlarıyla öğrenebilirsiniz. Telnet bağlantılar disconnect komutuyla kesilmektedir. Ayrıca askıya alınmış mevcut telnet bağlantıları tekrar aktif hale getirmek için resume komutu kullanılmaktadır. A

Istanbul

Frame Relay Izmir

Ankara

C

B Şekil 8.5 (Telnet) Welcome to Microsoft Telnet Client Escape Character is ‘CTRL+]’ Microsoft Telnet>telnet Ankara Trying Ankara (10.0.3.1)... Open User Access Verification Password:

155

Ankara>enable Password Ankara#telnet Istanbul Trying Istanbul (10.0.4.1)… Open User Access Verification Password: Istanbul> Istanbul> (Note: User pressed CTL-SHIFT-6, then x) Ankara#telnet Izmir Trying NewYork (10.0.4.2)… Open User Access Verification Password: Izmir> Izmir> (Note: User pressed CTL-SHIFT-6, then x) Ankara#show sessions Conn Host Address Byte Idle 1 Istanbul 10.0.4.1 0 0 *2 Izmir 10.0.4.2 0 0 Ankara#where Conn Host Address Byte Idle 1 Istanbul 10.0.4.1 0 0 *2 Izmir 10.0.4.2 0 0 Ankara#resume 1 [Resuming connection 1 to Istanbul … ] Istanbul> Istanbul> (Note: User pressed CTL-SHIFT-6, then x) Ankara#(Enter Tuşuna basıldı) [Resuming connection 1 to Istanbul … ] Istanbul> Istanbul> (Note: User pressed CTL-SHIFT-6, then x) Ankara#disconnect 1 Closing connection to Istanbul [confirm] Ankara#(Enter Tuşuna basıldı) [Resuming connection 2 to Izmir … ] Izmir> Izmir> (Note: User pressed CTL-SHIFT-6, then x) Ankara#disconnect 2 Closing connection to Izmir [confirm] Ankara#

Conn Name Istanbul Izmir Conn Name Istanbul Izmir

8.3. IPX ADRESİ ve IPX ADRESLEME TCP/IP protokol yığınında adresleme işlemi nasıl ki Internet Protokolü (IP) tarafından yapılıyorsa Novell Netware Protokol yığınında da adresleme işlemi IPX tarafından yapılmaktadır. IPX adresleri 80 bitten oluşmaktadır. Bunun ilk 32 biti ağ adresini, son 48 biti ise uç adresini belirtir. Uç Adresi, MAC adresinden alınmaktadır. Dolayısıyla IPX adreslerde toplam 232 farklı ağ adresi ve her bir ağda 248 farklı uç adresi konfigüre edilebilmektedir.

156

OSI Modeli Uygulama Sunum Oturum Nakil Ağ Data-Link Fiziksel

TCP/IP

Netware

Uygulama

Uygulama

TCP – UDP IP – ICMP – ARP

SPX IPX

Ağ Arayüzü

MAC Protokol

Büyük bir ağda farklı fiziksel subnetler için aynı ağ adresinin verilmemesine dikkat edilmelidir. Yönlendiriciler, aynı ağ adreslerinin birden fazla olmasından dolayı yönlendirme işlemini yapamazlar. Aynı fiziksel subnette bulunan bütün bilgisayarlara aynı ağ adresi verilmelidir. IPX ağ adresleri, IP adresleri gibi alt ağlara bölünmezler. Novell sunucular kurulum yapılırken otomatik olarak iç ağ adresi (internal network address) seçerler. Bu adresler ağda, farklı ağ adresleri gibi görünmektedir ve diğer IPX ağ adresleri gibi yönlendiricinin IPX yönlendirme tablosunda bulunmaktadır. Şekil 8.6’da görülen Novell sunuculardan Novell 3.11 Sunucu iç ağ adresi olarak 1005, Novell 4.0 Sunucu da iç ağ adresi olarak 1006 atamış olduğunu varsayalım. B

S1

E1

E0

S0 Network 1002

Netware 3.11 Sunucu

R2

R1 A

Netware 4.0 Sunucu Network 1003

Network 1001

Şekil 8.6 (IPX Adresleme) Tablo 8.18’de istemci ve sunucu bilgisayarların MAC adreslerini ve IPX adreslerini göreceksiniz. İstemci A, Netware 3.11 Sunucu bilgisayara data göndereceği zaman kaynak IPX adresi olarak 1001.0100.AAAA.AAAA, hedef IPX adresi olarak da 1003.0100.CCCC.CCCC kullanılacaktır. Bilgisayar veya Arayüz

MAC adresi

IPX adresi

İstemci A

0100.AAAA.AAAA

1001.0100.AAAA.AAAA

İstemci B

0100.BBBB.BBBB

1001.0100.BBBB.BBBB

Netware 3.11 Sunucu

0100.CCCC.CCCC

1003.0100.CCCC.CCCC

Netware 4.0 Sunucu

0100.DDDD.DDDD

1003.0100.DDDD.DDDD

R2’ün S0 Arayüzü

0100.EEEE.EEEE

1002.0100.EEEE.EEEE

R1’nin S1 Arayüzü

0100.AABB.CCDD

1002.0100.AABB.CCDD

Tablo 8.18 R2 yönlendiricisinde tutulan IPX yönlendirme tablosunda Netware sunucularının iç ağ adresleri de tutulacaktır. Tablo 8.19’da R2 yönlendiricisinin yönlendirme tablosunu göreceksiniz.

157

Ağ Adresi

Arayüz

Yönlendirici

1001

S0

1002.0100.AABB.CCDD

1002

S0

-

1003

E0

-

1004

E0

1003.0100.CCCC.CCCC

E0

1003.0100.DDDD.DDDD

1005

Tablo 8.19 R2 yönlendiricisine 1002 ve 1003 ağları direkt bağlı olduğu için öğrenilmiştir. Fakat 1001 ağı RIP, EIGRP ve NLSP gibi yönlendirme protokolleri vasıtasıyla öğrenilir. Ayrıca Novell sunucular da kendi iç ağ adreslerini RIP mesajları ile en yakın yönlendiriciye bildirir. TCP/IP protokol yığınında mantıksal adresleme IP ile yapılmakta ve Data-Link katmanında kullanılan teknoloji Ethernet ise tek bir Ethernet kapsülleme metodu kullanılmaktadır. Fakat Netware protokol yığınında ise mantıksal adresleme IPX ile yapılmakta olup, Data-Link katmanında kullanılan Ethernet teknolojisi için 4 farklı kapsülleme metodu kullanılmaktadır. Bu kapsülleme metotları Novell ve Cisco tarafından farklı adlandırılmaktadır. Tablo 8.20’de bu isimleri göreceksiniz. Novell Adı

Cisco IOS Adı

Ethernet_II

ARPA

Ethernet_802.3

Novell-ether

Ethernet_802.2

SAP

Ethernet_SNAP

SNAP

Tablo 8.20 Aynı şekilde Data-Link katmanında kullanılan teknoloji FDDI veya Token-Ring ise bunların da Cisco IOS’daki isimleri farklıdır. Novell Adı

Cisco IOS Adı

FDDI_Raw

Novell-fddi

FDDI_802.2

SAP

FDDI_SNAP

SNAP

Token-Ring

SAP

Token-Ring_SNAP

SNAP

Tablo 8.21 Yukarıdaki tablolardan anlaşılacağı üzere her bir Data-Link teknolojisi için birden fazla kapsülleme metodu vardır. Eğer ağda tek bir kapsülleme kullanılıyorsa yönlendiricide de bir kapsülleme metodunun konfigüre edilmesi yeterlidir. Fakat ağda farklı teknolojiler kullanılıyorsa veya aynı teknoloji için birden fazla kapsülleme metodu kullanılıyorsa bu arayüz için ağın o segmentinde kullanılan bütün kapsülleme metodunun Cisco IOS’da konfigüre edilmesi gerekmektedir. Herbir kapsülleme metodu için de arayüze farklı IPX ağ adresleri verilmelidir. Bu adresler ya arayüze ikincil IPX adresi verilerek ya da alt arayüzler oluşturulmak üzere iki farklı yolla verilebilir. Herhangi bir yolla ikincil adresin konfigüre edildiği bu arayüzlerden yönlendirme güncelleme mesajları bütün kapsülleme metotları kullanılarak aktarılır.

158

Aynı fiziksel segmentte bulunan sunucu ve istemci bilgisayarların farklı kapsülleme metotlarını kullanması yönlendiricinin kullanılmasını gerektirir. Yönlendirici datanın farklı kapsülleme metoduna dönüştürülmesini sağlamaktadır. Yönlendiricinin IPX konfigürasyonunu yapmak için IP konfigürasyonu yapılması şart değildir. Fakat yönlendiricileri uzaktan yönetebilmek için telnet kullanıldığından ve telnet uygulaması da IP kullandığı için genelde yönlendiricilerde IP adresi konfigüre edilmektedir. KOMUT

FONKSİYON

ipx routing (MAC Adres)

IPX yönlendirmeyi aktifleştirir.

ipx maximum-paths (miktar)

Eşit metrikli yönlendirme tablosunda tutulacak maksimum rota sayısını belirtir.

ipx network (ağ no) [encapsulation tip] [secondary]

Arayüze direkt bağlı olan ağ adresini belirtir.

show ipx interface

Herbir arayüz için IPX parametrelerini görüntüler.

show ipx route (ağ)

IPX yönlendirme tablosunu tamamını veya belirtilen ağa ait olan kısmını görüntüler.

show ipx servers

SAP tablosunu görüntüler.

show ipx traffic

IPX trafiğinin istatistiklerini görüntüler.

debug ipx routing [events | activity]

Herbir yönlendirme güncellemeleri için mesaj oluşturur.

debug ipx sap [events | activity]

Herbir SAP güncellemesi için mesaj oluşturur.

ping (ipx-adres)

Bağlantının varlığını onaylamak için IPX paketleri gönderir.

Tablo 8.22 Şekil 8.6’daki ağın IPX konfigürasyonu aşağıdaki gibidir. R2(config)#ipx routing ! R2(config)#interface serial0 R2(config-if)#ip address 10.1.3.1 255.255.255.0 R2(config-if)#ipx network 1002 ! R2(config-if)#interface ethernet0 R2(config-if)#ip address 10.1.4.1 255.255.255.0 R2(config-if)#ipx network 1003 encapsulation Novell-ether R2(config-if)#ipx network 1007 encapsulation sap secondary R1(config)#ipx routing ! R1(config)#interface serial1 R1(config-if)#ip address 10.1.3.2 255.255.255.0 R1(config-if)#ipx network 1002 ! R1(config-if)#interface ethernet1 R1(config-if)#ip address 10.1.2.1 255.255.255.0 R1(config-if)#ipx network 1001

159

Yukaridaki iki konfigürasyonda da ipx routing komutu ile IPX adreslerin yönlendirilmesi aktif hale getirilmiştir. Eğer yönlendiricilerin yerel ağ arayüzleri yoksa mutlaka ipx routing komutuyla birlikte MAC adres manual olarak konfigüre edilmelidir. Şekil 8.6’daki Netware 3.11 Sunucu, Netware 3.11 çalıştığından dolayı öngörüldüğü şekliyle Novell-ether kapsüllemeyi, Netware 3.12 Sunucu, Netware 3.12 çalıştığından dolayı öngörüldüğü şekliyle SAP kapsüllemeyi kullanmaktadır. Dolayısıyla R2 yönlendiricinin Ethernet arayüzü her iki kapsülleme için de konfigüre edilmelidir.

160

ÜNİTE 9 – YÖNLENDİRME PROTOKOLLERİ Bir paketin bir segmentten başka bir segmente yönlendirilmesi işlemine yönlendirme (routing) denir. Ağda yönlendirme işlemini yapabilmek için yönlendiriciler bazı bilgileri edinmeleri gerekmektedir. Bunlar; • • • •

Yönlendirilecek paketin hedef adresi Rotaların keşfedilmesi En iyi rotanın seçilmesi Yönlendirme bilgilerinin yönlendiriciler arasında devamlılığın sağlanması

Yukarıda belirtilen bilgilerin bir kısmı yönlendirilen protokoller (routed protocol) , diğer bir kısmı ise yönlendiren protokoller (routing protocol) tarafından sağlanmaktadır. Bu iki kavram birbirinden farklı işlevlere sahiptir. Yönlendirilen protokoller, mantıksal adresleme yapan 3.ncü katman protokolleridir. IP ve IPX bu protokollere örnek olarak verilebilir. Paketlerin hedef ve kaynak adresleri bu protokoller ile öğrenilmektedir. Yönlendiren protokoller ise IP ve IPX gibi yönlendirilen protokolleri kendilerine özgü algoritma kullanarak yönlendirirler. Yönlendiren protokoller dinamik olarak çalışmaktadırlar. Fakat IP ve IPX paketleri statik olarak da yönlendirilebilmektedir. 9.1. STATİK YÖNLENDİRME Ağ yöneticisinin manuel olarak bütün bir ağdaki subnetleri her yönlendiricide uygun bir şekilde konfigüre etmesine statik yönlendirme denmektedir. Bu tarz ağ yönetiminin hem avantajı hem de dezavantajı vardır. ¾ Yönlendiricilerde daha az işlemci kullanımı, ¾ Ağ üzerinde yönlendirme mesajları için gerekli olan bantgenişliğinin kullanılmaması, ¾ Döngülerin oluşma riskinin olmaması gibi avantajlar özellikle küçük ağlar için statik yönlendirmeyi daha etkin bir yönetim anlayışı yapmaktadır. Fakat statik yönlendirme yapılırken; ¾ Ağ yöneticisinin ağ yapısını iyi bilen ve konfigüre edebilen yetkin bir kişinin olması, ¾ Büyük ağlarda yönlendirme için gerekli konfigürasyonun yapılmasının çok vakit alması, ¾ Hata yapma riskinin yüksek olması gibi sebeplerden dolayı büyük ağlar için bu yöntem tercih edilmemelidir. Şekil 9.1’deki ağ küçük olduğu için statik olarak konfigüre edilebilir. A ve B yönlendiricilerde yapılması gereken konfigürasyonu inceleyelim. RouterA(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1 RouterA(config)#ip route 192.168.5.0 255.255.255.0 192.168.4.2 RouterA(config)#exit RouterA#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR

161

Gateway of last resort is not set C 192.168.3.0 S 192.168.2.0 S 192.168.5.0 C 192.168.4.0 RouterA#

is directly connected, Serial0 [1/0] via 192.168.3.1 [1/0] via 192.168.4.2 is directly connected, Serial1

RouterB(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2 RouterB(config)#ip route 192.168.5.0 255.255.255.0 192.168.3.2 RouterB(config)#exit RouterB#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set C 192.168.2.0 S 192.168.4.0 S 192.168.5.0 C 192.168.3.0 RouterB#

is directly connected, Ethernet0 [1/0] via 192.168.3.2 [1/0] via 192.168.3.2 is directly connected, Serial0

192.168.5.0 / 24

192.168.3.1

A 192.168.4.0 / 24 192.168.3.2

B

Ethernet

C

D 192.168.2.0 / 24

Şekil 9.1 (Statik Yönlendirme) 9.2. DİNAMİK YÖNLENDİRME Yukarıda bahsedildiği gibi büyük ağlarda yönetim daha zor olduğu için ağdaki trafik yönlendirmenin daha sağlıklı ve etkin bir biçimde gerçekleşmesi gerekmektedir. Dinamik yönlendirme protokolleri, yönlendiricilerin yönlendirme tablolarını oluşturması için gerekli bilgileri birbirlerine mesajla bildirmelerini sağlayacak, bir ağa ulaşım için farklı alternatifler oluşturarak rotaları yedekleyecek, gerektiğinde yük dağılımı yapabilmek için birden fazla rotalar belirleyebilecek ve ağdaki trafiğin sağlıklı ve etkin bir biçimde akmasını sağlayacak daha birçok özellikleri algoritmalarında içeren yapıya sahiptirler.

162

İki farklı türde yönlendirme protokolleri vardır. Bunlar; • •

Dış Yönlendirme Protokolleri (Exterior Routing Protocols) İç Yönlendirme Protokolleri (Interior Routing Protocols)

Organizasyonlar arası ağların yönlendirme bilgileri Dış Yönlendirme Protokolleri tarafından güncellenmektedir. Border Gateway Protocol-BGP, bu protokollere örnek verilebilir. Organizasyon içindeki yönlendirme bilgileri de İç Yönlendirme Protokolleri tarafından güncellenmektedir. Routing Information Protocol-RIP, Interior Gateway Routing Protocol-IGRP, Enhanced Interior Gateway Routing Protocol-EIGRP, Open Shortest Path First-OSPF bu protokollerden bazılarıdır. Yönlendirme Protokollerine ihtiyaç duyulur; çünkü ¾ ¾ ¾ ¾ ¾

Ağdaki bütün alt ağlara giden rotaları dinamik olarak öğrenmek Herhangi bir alt ağa birden fazla rotanın olduğu durumlarda en iyi rotayı belirlemek Yönlendirme tablosundaki bir rotanın geçerliliğini kaybettiği durumlarda bu rotayı silmek Yeni rotalar ekleyebilmek ve rotanın kaybolduğu durumlarda mümkün olduğunca kısa sürede en iyi yeni rotayı tabloya ekleyebilmek Yönlendirme döngülerini önleyebilmek gerekmektedir.

Eğer ağ büyük değilse ve IP yapılandırması sık sık değişmiyorsa Yönlendirme Protokollerine ihtiyaç duyulmaz. Statik rotalar yönlendirme ihtiyacını karşılayacaktır. İç Yönlendirme Protokolleri sınıflandırılabilmektedir. Bunlar; • • •

kullandıkları

algoritmaya

göre

3

farklı

şekilde

Uzaklık Vektör Yönlendirme Protokolleri (Distance Vector Routing Protocols) Link Durum Yönlendirme Protokolleri (Link State Routing Protocols) Dengeli Melez Yönlendirme Protokolleri (Balanced Hybrid Routing Protocols)

Uzaklık Vektör Yönlendirme Protokolleri ağdaki herhangi bir subnete olan vektörel uzaklığı hesaplayarak yönlendirme tablolarının oluşmasını sağlar. RIPv1, RIPv2 ve IGRP bu protokollere örnek olarak verilebilir. Link Durum Yönlendirme Protokolleri ise her bir yönlendiricide Dijkstra shortest path first (SPF) (OSPF protokolü için) algoritmasını kullanarak topolojik bir veritabanı oluştururlar. Bu veritabanında yönlendiriciye bağlı olan linkler, rotalar ve yakın komşulukta bulunan yönlendiricilerin bilgileri bulunmaktadır. OSPF bu protokollere örnek olarak verilebilir. Dengeli Melez Yönlendirme Protokolleri, diğer iki tip yönlendirme protokollerinin karışımı olan Diffusing Update Algorithm-DUAL algoritmasını kullanarak ağ topolojisi hakkında yakın komşuluktaki yönlendiricileri bilgilendirir. EIGRP bu protokollere örnek olarak verilebilir. Bu kitapta sadece Uzaklık Vektör Yönlendirme Protokolleri detaylı bir şekilde incelenecektir. Link Durum Yönlendirme protokolleri ise belli bir seviyede incelenecektir. Teknik detayı bu kitabın amacını aşmaktadır. 9.2.1. Uzaklık Vektör Yönlendirme Protokolleri Uzaklık Vektör Yönlendirme algoritmaları, yönlendiriciye direkt bağlı olan ağ bilgilerini periyodik güncelleme mesajları ile yakın komşuluktaki yönlendiricilere aktarırlar. Ağdaki her bir yönlendirici diğer yönlendicilerden aldıkları bu ağ bilgilerini metrik değerlerini artırarak diğer yönlendiricilere yönlendirirler. Yönlendirme algoritması, her bir ağ için bir metrik değeri üretir. Metrik değer, ağa olan vektörel uzaklığı belirtmektedir. IP RIP protokolü, metrik değer olarak bir paketin üzerinden geçtiği yönlendirici sayısını (hop count) kullanır. IPX RIP ise hem üzerinden geçtiği yönlendirici sayısını hem de IBM bilgisayarların saat tiki olarak kullandığı data link

163

üzerindeki yaklaşık 55 milisaniye değerindeki gecikmeyi metrik olarak kullanır. IGRP protokolü de bant aralığı, gecikme, yük, güvenirlilik ve MTU değerlerinden oluşan bir fonksiyon ile ağın metrik değerini hesaplamaktadır. Yönlendirici en küçük metriğe sahip rotaya göre yönlendirme yapmaktadır. Ağın topolojisinde herhangi bir değişiklik meydana geldiği zaman yönlendiriciler güncel ağ bilgilerini alarak yönlendirme tablolarını yenilerler. Ağdaki bütün yönlendiricilerin her subnet ile ilgili bilgileri içermesine “yakınsak ağ” (converged network) denir. 10.0.1.0 / 24 Token-ring

TO0

A

10.0.3.0 / 24 S0 E0

10.0.2.0 / 24

S0

B

10.0.5.0 / 24 S1

S0

C

E1

E0

E0

10.0.4.0 / 24

10.0.6.0 / 24

10.0.7.0 / 24

Şekil 9.2 (Uzaklık Vektör Yönlendirme) Şekil 9.2’de görülen ağda her bir yönlendirici kendisine direkt bağlı olan subnet bilgilerini ve yönlendirme protokolleri mesajlarının yardımı ile uzakta bulunan ağ bilgilerini yönlendirme tablosunda biriktirirler. Yönlendirme Tabloları B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

TO0 E0 S0 S0 S0 S0 S0

0 0 0 1 1 2 2



Arayüz

Metrik

C Yönlendiricisi Ağ

10.0.1.0 S0 1 10.0.1.0 10.0.2.0 S0 1 10.0.2.0 10.0.3.0 S0 0 10.0.3.0 10.0.4.0 E0 0 10.0.4.0 10.0.5.0 S1 0 10.0.5.0 10.0.6.0 S1 1 10.0.6.0 10.0.7.0 S1 1 10.0.7.0 Tablo 9.1 (Yönlendirme Tablosu)

Arayüz

Metrik

S0 S0 S0 S0 S0 E0 E1

2 2 1 1 0 0 0

Tablo 9.1’de görüldüğü gibi A yönlendiricisine direkt bağlı olan 10.0.1.0, 10.0.2.0, 10.0.3.0 ağlarının metriği sıfırdır. Çünkü bu ağlara ulaşmak için üzerinden geçilmesi gereken bir yönlendirici yoktur. Fakat 10.0.4.0 ve 10.0.5.0 ağlarına ulaşmak için B yönlendiricisinden geçmek zorundadır. Dolayısıyla A yönlendiricisindeki yönlendirme tablosunda bu ağlara ulaşım için gerekli metrik 1’dir. 10.0.6.0 ve 10.0.7.0 ağlarına ulaşmak için B ve C yönlendiricilerinin üzerinden geçmek gerektiği için de metrikleri 2’dir. Diğer B ve C yönlendiricileri için de tablolar bu şekilde oluşturulmuştur. Herhangi bir yönlendirici, diğer yönlendiricilerden kendisinin direkt bağlı olduğu ağ hakkında bilgi aldığını varsayalım. Bu durumda başka yönlendiricilerden alınan kendisinin direkt bağlı olduğu ağların metrik değeri daha büyük olacağı için yönlendirme tablosunda bu bilgi yer alamayacaktır. Örneğin B yönlendiricisi A’ya 10.0.1.0 ve 10.0.2.0 ağını metrik değeri 2 olarak duyurması durumunda; A yönlendiricisi, kendi yönlendirme tablosunda 0 ‘sıfır’ metrikli değer bulunduğunu bildiği için bu bilgiyi dikkate almayacaktır. Bu çok karmaşık ağlarda daha sık karşılaşılan bir durumdur. Ağdaki bir yönlendirici birçok yönlendiriciden ağ bilgileri almaktadır. Her zaman için yönlendiriciler, en küçük metrik değerli rotayı yönlendirme tablosuna kaydetmektedir. Yönlendirme bilgileri aktarılırken oluşan döngüler nedeniyle ağda yönlendirme işlemleri aksayabilmektedir. Şekil 9.2’deki ağda B yönlendiricisine bağlı olan 10.0.4.0/24 ağının çalışmadığını varsayalım. B yönlendiricisi ağdaki bu hatayı tespit ettikten sonra 10.0.4.0 ağının

164

metrik değerini sonsuz (infinite metric) yaparak diğer yönlendiricilere aktaracak ve yönlendirme tablosunda da bu ağın ulaşılamaz olduğunu belirtecektir. (Yönlendirme protokolleri tarafından bir paketin ulaşabileceği en uzak noktayı belirleyen metrik değerine sonsuz metrik (infinite metric) denmektedir. RIP için sonsuz metrik öngörüldüğü şekliyle 16, IGRP için bu değer 4.294.967.295’dir.) Bütün yönlendiricilerin aynı anda yönlendirme bilgilerini birbirlerine aktardıklarını varsayalım. B yönlendiricisi sonsuz metrikli bu bilgiyi A ve C yönlendiricilerine aktaracaktır. Daha önce B yönlendiricisinden 10.0.4.0 ağına ait aldıkları bilginin metrik değeri daha iyi olduğu için A ve C yönlendiricileri yeni metrik değerini dikkate almayacaktır. A ve C yönlendiricileri 10.0.4.0 ağının metrik değerini 2 yaparak B’ye gönderir. B yönlendiricisi 10.0.4.0 ağının metrik değeri daha yüksek olduğu için bu bilgiyi kabul eder. Aynı şekilde B yönlendiricisi alınan bu ağ bilgisinin metrik değerini tekrar artırarak A ve C’ye geri gönderecektir. Bu işlem sonsuz metriğe ulaşana kadar devam edecektir. Oluşan bu döngüye “counting to infinity” denmektedir. Oluşacak döngü sürecinde yönlendiricilerdeki yönlendirme tablo değişikliklerini Tablo 9.2, 9.3, 9.4, 9.5, 9.6’da görebilirsiniz. Tablo 9.2’de B yönlendiricisinin 10.0.4.0 ağının metriğini sonsuz yaptığı görülmektedir. Tablo 9.3’de B yönlendiricisi kendi yönlendirme tablosundaki sonsuz metrikli bilgiyi A ve C’ye göndermiştir. Tablo 9.3’de A ve C yönlendiricisi daha önce B’den aldıkları 10.0.4.0/24 ağına ait sonsuz metrikli bilgiyi daha iyi metrikli rota olduğu için değiştirmemiştir. Yönlendirme Tabloları - 1 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

TO0 E0 S0 S0 S0 S0 S0

0 0 0 1 1 2 2



Arayüz

Metrik

10.0.1.0 S0 1 10.0.1.0 10.0.2.0 S0 1 10.0.2.0 10.0.3.0 S0 0 10.0.3.0 10.0.4.0 E0 16 10.0.4.0 10.0.5.0 S1 0 10.0.5.0 10.0.6.0 S1 1 10.0.6.0 10.0.7.0 S1 1 10.0.7.0 Tablo 9.2 (Yönlendirme Tablosu) Yönlendirme Tabloları - 2 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

TO0 E0 S0 S0 S0 S0 S0

0 0 0 1 1 2 2

C Yönlendiricisi Ağ



Arayüz

Metrik

Arayüz

Metrik

S0 S0 S0 S0 S0 E0 E1

2 2 1 1 0 0 0

C Yönlendiricisi Ağ

10.0.1.0 S0 1 10.0.1.0 10.0.2.0 S0 1 10.0.2.0 10.0.3.0 S0 0 10.0.3.0 10.0.4.0 E0 16 10.0.4.0 10.0.5.0 S1 0 10.0.5.0 10.0.6.0 S1 1 10.0.6.0 10.0.7.0 S1 1 10.0.7.0 Tablo 9.3 (Yönlendirme Tablosu)

Arayüz

Metrik

S0 S0 S0 S0 S0 E0 E1

2 2 1 1 0 0 0

Tablo 9.4’de A ve C yönlendiricileri yönlendirme tablolarındaki 10.0.4.0/24 ağına ait rota mesajını B’ye gönderdikleri görülmektedir. B yönlendiricisi de bu ağa ait metriği 2 yapar. Tablo 9.5’de B yönlendiricisi A ve C’ye bu ağ bilgisini metrik değerini bir artırarak gönderir. Yönlendirme Tabloları - 3 B Yönlendiricisi

A Yönlendiricisi

C Yönlendiricisi



Arayüz

Metrik



Arayüz

Metrik



Arayüz

Metrik

10.0.1.0 10.0.2.0

TO0 E0

0 0

10.0.1.0 10.0.2.0

S0 S0

1 1

10.0.1.0 10.0.2.0

S0 S0

2 2

165

10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

S0 S0 S0 S0 S0

0 1 1 2 2

10.0.3.0 S0 10.0.4.0 S0 10.0.5.0 S1 10.0.6.0 S1 10.0.7.0 S1 Tablo 9.4 (Yönlendirme

0 10.0.3.0 2 10.0.4.0 0 10.0.5.0 1 10.0.6.0 1 10.0.7.0 Tablosu)

S0 S0 S0 E0 E1

1 1 0 0 0

Tablo 9.5 ve Tablo 9.6’da görüldüğü gibi A ve C yönlendiricileri ile B yönlendiricisi arasında gidip gelen yönlendirme mesajları 10.0.4.0 ağına ait bilgilerin güncellenmesi olarak algılanmakta ve bütün yönlendiricilerdeki metrik değeri artmaktadır. Bu da ağdaki trafiğin gerçekte ulaşılamaz olan bir subnete ulaşılabilecekmiş gibi düşünülmesine ve ağda döngü oluşturarak dolaşmasına sebep olmaktadır. Bu da ağ darboğazına (bottleneck) yol açmaktadır. Yönlendirme Tabloları - 4 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

TO0 E0 S0 S0 S0 S0 S0

0 0 0 3 1 2 2



Arayüz

Metrik

10.0.1.0 S0 10.0.2.0 S0 10.0.3.0 S0 10.0.4.0 S0 10.0.5.0 S1 10.0.6.0 S1 10.0.7.0 S1 Tablo 9.5 (Yönlendirme

1 10.0.1.0 1 10.0.2.0 0 10.0.3.0 2 10.0.4.0 0 10.0.5.0 1 10.0.6.0 1 10.0.7.0 Tablosu)

Yönlendirme Tabloları - 5 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.3.0 10.0.4.0 10.0.5.0 10.0.6.0 10.0.7.0

TO0 E0 S0 S0 S0 S0 S0

0 0 0 3 1 2 2



Arayüz

Metrik

10.0.1.0 S0 10.0.2.0 S0 10.0.3.0 S0 10.0.4.0 S0 10.0.5.0 S1 10.0.6.0 S1 10.0.7.0 S1 Tablo 9.6 (Yönlendirme

C Yönlendiricisi Ağ

Arayüz

Metrik

S0 S0 S0 S0 S0 E0 E1

2 2 1 3 0 0 0

C Yönlendiricisi Ağ

1 10.0.1.0 1 10.0.2.0 0 10.0.3.0 4 10.0.4.0 0 10.0.5.0 1 10.0.6.0 1 10.0.7.0 Tablosu)

Arayüz

Metrik

S0 S0 S0 S0 S0 E0 E1

2 2 1 3 0 0 0

Uzaklık Vektör Yönlendirme Protokolleri, yukarıdaki örnekte anlatıldığı gibi oluşan bir döngüyü önlemek için değişik mekanizmalar kullanmaktadırlar. Örnekte oluşan döngü sonsuz metriğe ulaşana kadar devam edecektir. Bu da ağın yakınsamasını geciktirecektir. (Ağdaki bütün yönlendiricilerin bütün subnetler hakkında tam ve doğru bilgiye sahip olması durumuna yakınsamış ağ (converged network) denmektedir.) Döngüyü önleyen mekanizmalardan ilki “Split Horizon”dır. Bu çözüm 2 kısımdan oluşur. Bunlar; • •

Yönlendirme mesajlarında mesajın gönderildiği arayüzün subnet bilgileri bulunmamalıdır. Yönlendirici, başka yönlendiriciden aldığı yönlendirme bilgilerini aynı arayüzü kullanarak geriye göndermemelidir.

Yukarıdaki örnekte belirtildiği gibi B yönlendiricisi A ve C’ye sonsuz metrikle 10.0.4.0 ağına ait bilgileri gönderdikten sonra; A ve C yönlendiricileri bu ağa ait bilgiyi geriye göndermemeleri gerekmektedir. Böylece döngü de oluşmayacaktır.

166

Diğer çözüm ise “Split Horizon with poison reverse”dür. Bir önceki çözüme çok benzemektedir. Bu çözüme göre yönlendirici, başka yönlendiriciden aldığı yönlendirme bilgilerini aynı arayüzü kullanarak geriye göndermemek yerine metriğini zehirleyerek yani metric değerini sonsuz yaparak göndermektedir. Yukarıdaki örnekte B yönlendiricisinden sonsuz metrikle aldıkları bilgiyi, A ve C yönlendiricilerinin metriği sonsuz yaparak B’ye geri göndermesidir. Böylece B yönlendiricisi 10.0.4.0 ağına ait metrikle, A ve C’den aldığı metriği karşılaştırdığında aynı olduğu görüp metriği değiştirmeyecektir. Bu da döngünün oluşmasına engel olacaktır. Yukarıda anlatılan çözümler tek link üzerinde oluşabilecek döngüleri önlemektedir. Şekil 9.3’de görüldüğü gibi yedek linkleri bulunan ağlarda oluşabilecek döngüleri önleyebilmek için bu iki çözüm yeterli olmamaktadır. Şekildeki ağ problemsiz çalışıyorken yönlendiricilerdeki yönlendirme tabloları Tablo 9.7, 9.8, 9.9, 9.10, 9.11, 9.12’deki gibi olmaktadır. 10.0.4.0/24 E0 10.0.5.0/24

S1 10.0.2.0/24 E0

S0

S1

B

A

10.0.6.0/24

S0

C S0

TO0

10.0.3.0/24

10.0.7.0/24 S1

E0

Token-ring

10.0.1.0/24

Şekil 9.3 (Uzaklık Vektör Yönlendirme) Yönlendirme Tabloları B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.7.0 10.0.5.0 10.0.4.0 10.0.3.0 10.0.6.0

TO0 E0 S0 S1 S1 S0 S0

0 0 0 0 1 1 2



Arayüz

Metrik

10.0.6.0 S1 10.0.4.0 E0 10.0.5.0 S0 10.0.1.0 S0 10.0.2.0 S0 10.0.3.0 S1 10.0.7.0 S1 Tablo 9.7 (Yönlendirme

C Yönlendiricisi Ağ

0 10.0.6.0 0 10.0.3.0 0 10.0.7.0 1 10.0.4.0 1 10.0.2.0 1 10.0.1.0 2 10.0.5.0 Tablosu)

Arayüz

Metrik

S0 E0 S1 S0 S1 S1 S1

0 0 0 1 1 1 2

10.0.4.0/24 ağının çalışmadığını varsayalım. Yönlendiriciler belli periyotlarda yönlendirme bilgilerini güncellemektedirler. Güncelleme periyotlarındaki farklılıklardan dolayı ağda döngüler oluşabilecektir. Aşağıdaki tablolar bu döngülerin oluşumunu belirtmektedir. Tablo 9.8, 10.0.4.0/24 ağının çalışmamaya başladıktan hemen sonraki yönlendirme tablosunu göstermektedir. Yönlendirme Tabloları-1 B Yönlendiricisi

A Yönlendiricisi

C Yönlendiricisi



Arayüz

Metrik



Arayüz

Metrik



Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.7.0 10.0.5.0

TO0 E0 S0 S1

0 0 0 0

10.0.6.0 10.0.4.0 10.0.5.0 10.0.1.0

S1 E0 S0 S0

0 16 0 1

10.0.6.0 10.0.3.0 10.0.7.0 10.0.4.0

S0 E0 S1 S0

0 0 0 1

167

10.0.4.0 10.0.3.0 10.0.6.0

S1 S0 S0

1 1 2

10.0.2.0 S0 10.0.3.0 S1 10.0.7.0 S1 Tablo 9.8 (Yönlendirme

1 10.0.2.0 1 10.0.1.0 2 10.0.5.0 Tablosu)

S1 S1 S1

1 1 2

B yönlendiricisi, yönlendirme bilgilerini diğer yönlendiricilere (A ve C) gönderir. A yönlendiricisi de aynı anda 10.0.4.0/24 ağına ait kendi yönlendirme tablosundaki bilgiyi C’ye gönderdiğini varsayalım. A’ya gönderemez çünkü bu ağa ait bilgi, A yönlendiricisinin direkt bağlı olduğu arayüzden gelmiştir. C yönlendiricisi, B ve A yönlendiricilerinden aldığı 10.0.4.0/24 ağına ait metrikleri karşılaştıracak ve A yönlendiricisinden aldığı metrik daha küçük olduğu için yönlendirme tablosuna koyacaktır. Yönlendirme Tabloları-2 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.7.0 10.0.5.0 10.0.4.0 10.0.3.0 10.0.6.0

TO0 E0 S0 S1 S1 S0 S0

0 0 0 0 1 1 2



Arayüz

Metrik

10.0.6.0 S1 10.0.4.0 E0 10.0.5.0 S0 10.0.1.0 S0 10.0.2.0 S0 10.0.3.0 S1 10.0.7.0 S1 Tablo 9.9 (Yönlendirme

C Yönlendiricisi Ağ

0 10.0.6.0 16 10.0.3.0 0 10.0.7.0 1 10.0.4.0 1 10.0.2.0 1 10.0.1.0 2 10.0.5.0 Tablosu)

Arayüz

Metrik

S0 E0 S1 S1 S1 S1 S1

0 0 0 2 1 1 2

Bir sonraki güncellemede C yönlendiricisi 10.0.4.0/24 ağına ait bilgiyi A’dan aldığı için B yönlendiricisine gönderecektir. A yönlendiricisi de daha önceden B’den 10.0.4.0/24 ağına ait bilgi aldığı için metriğini sonsuz (yani 16) yaparak değiştirmiştir. Yönlendirme Tabloları-3 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.7.0 10.0.5.0 10.0.4.0 10.0.3.0 10.0.6.0

TO0 E0 S0 S1 S1 S0 S0

0 0 0 0 16 1 2



Arayüz

Metrik

10.0.6.0 S1 10.0.4.0 S1 10.0.5.0 S0 10.0.1.0 S0 10.0.2.0 S0 10.0.3.0 S1 10.0.7.0 S1 Tablo 9.10 (Yönlendirme

C Yönlendiricisi Ağ

0 10.0.6.0 3 10.0.3.0 0 10.0.7.0 1 10.0.4.0 1 10.0.2.0 1 10.0.1.0 2 10.0.5.0 Tablosu)

Arayüz

Metrik

S0 E0 S1 S1 S1 S1 S1

0 0 0 2 1 1 2

B yönlendiricisi, C’den aldığı yeni metrikle yönlendirme tablosunu değiştirdikten sonra bu bilgiyi A’ya aktarır. A yönlendiricisi de 10.0.4.0/24 ağının metriğini değiştirerek bu bilgiyi C’ye aktarır. Böylece ağda döngü oluşmuş ve 10.0.4.0/24 ağına ait metrik bütün yönlendiricilerde sonsuza doğru artmaktadır. Yönlendirme Tabloları-3 B Yönlendiricisi

A Yönlendiricisi

C Yönlendiricisi



Arayüz

Metrik



Arayüz

Metrik



Arayüz

Metrik

10.0.1.0 10.0.2.0 10.0.7.0 10.0.5.0

TO0 E0 S0 S1

0 0 0 0

10.0.6.0 10.0.4.0 10.0.5.0 10.0.1.0

S1 S1 S0 S0

0 3 0 1

10.0.6.0 10.0.3.0 10.0.7.0 10.0.4.0

S0 E0 S1 S1

0 0 0 2

168

10.0.4.0 10.0.3.0 10.0.6.0

S1 S0 S0

4 1 2

10.0.2.0 S0 10.0.3.0 S1 10.0.7.0 S1 Tablo 9.11 (Yönlendirme

1 10.0.2.0 1 10.0.1.0 2 10.0.5.0 Tablosu)

Yönlendirme Tabloları-3 B Yönlendiricisi

A Yönlendiricisi Ağ

Arayüz

Metrik

10.1.1.0 10.1.2.0 10.1.7.0 10.1.5.0 10.1.4.0 10.1.3.0 10.1.6.0

TO0 E0 S0 S1 S1 S0 S0

0 0 0 0 4 1 2



Arayüz

Metrik

10.1.6.0 S1 10.1.4.0 S1 10.1.5.0 S0 10.1.1.0 S0 10.1.2.0 S0 10.1.3.0 S1 10.1.7.0 S1 Tablo 9.12 (Yönlendirme

S1 S1 S1

1 1 2

C Yönlendiricisi Ağ

0 10.1.6.0 6 10.1.3.0 0 10.1.7.0 1 10.1.4.0 1 10.1.2.0 1 10.1.1.0 2 10.1.5.0 Tablosu)

Arayüz

Metrik

S0 E0 S1 S1 S1 S1 S1

0 0 0 5 1 1 2

Oluşan bu döngüyü önlemek için “holddown timer” mekanizması kullanılmaktadır. Örnekte C yönlendiricisi, 10.0.4.0/24 ağına B yönlendiricisi üzerinden S0 arayüzünden ulaşmaktadır. A yönlendiricisi, daha sonra metrik değeri 2 olan 10.0.4.0/24 ağına ait rotayı C’ye göndermesine rağmen rota değiştirilmeyecektir. C yönlendiricisi eski rotayı “holddown timer” süresince koruyacaktır. (“holddown timer” süresi, en az bir kaç güncelleme periyot süresi kadardır.) C yönlendiricisi, B yönlendiricisinden 10.0.4.0/24 ağının çalışmadığını öğrenecek ve yönlendirme tablosunda bu ağa ait olan metriği sonsuz yapacaktır. A yönlendiricisi de aynı şekilde B’den bu bilgiyi alacaktır. Ağdaki bütün yönlendiriciler 10.0.4.0/24 ağına ulaşılamaz olduğunu öğrenmişlerdir. Dolayısıyla ağda döngünün oluşması büyük ölçüde engellenmiştir. Ayrıca direkt bağlı olduğu ağa olan bağlantısını kaybettiğini algılayan yönlendirici, bu bilgiyi hemen diğer yönlendiricilere bildirmesini sağlayan bir mekanizma ile döngünün oluşmasını önlemektedir. Bu mekanizmaya tetiklenen güncelleme veya flash güncelleme (triggered update veya flash update) denmektedir. 9.2.2. Routing Information Protocol (RIP) ve Interior Gateway Routing Protocol (IGRP) Yönlendiriciler, yönlendirme tablolarını belirli bir metodoloji takip ederek oluştururlar. Yönlendiriciler, gerek ağ yöneticisinin statik olarak rota konfigüre etmesiyle gerekse dinamik yönlendirme protokollerinin mesajları ile elde ettikleri ağ bilgilerini yönlendirme tablosuna kaydetmeden önce incelerler. Eğer bir ağa ait birden fazla farklı rota bilgisi varsa; bu rotaların hangi protokol aracılığıyla elde edildiğine bakılır. Yönetimsel Uzaklık (Administrative Distance) değeri en iyi olan rota, yönlendirme tablosuna kaydedilir. Dinamik Yönlendirme Protokollerinin sahip oldukları mevcut algoritmalara göre ağda en etkin rota tespit edebilme yeteneğine göre belirlenen değerler Yönetimsel Uzaklık (Administrative Distance) olarak bilinmektedir. Bir rotanın yönetimsel uzaklık değeri ne kadar küçükse bu rotanın o kadar tercih edilebilir olduğunu gösterir. Yönetimsel Uzaklığın öngörülen değerleri Tablo 9.13’de görülmektedir. Eğer bir ağa ait birden fazla farklı rotanın Yönetimsel Uzaklık değerleri de aynı ise bu rotaların metrik değeri en küçük olan rota, yönlendirme tablosuna kaydedilecektir. Bu konuyla ilgili daha detay bilgi, bu kitabın içeriğini aşmaktadır. ÖNGÖRÜLEN UZAKLIK DEĞERİ

ROTA KAYNAĞI Direkt Bağlı Arayüz

0

169

Statik rota

1

EIGRP

90

IGRP

100

OSPF

110

RIP

120

External EIGRP

170

Bilinmeyen

255

Tablo 9.13 (Yönetimsel Uzaklık) Uzaklık Vektör Yönlendirme protokollerinden RIP (Routing Information Protocol) ve IGRP (Interior Gateway Routing Protocol) bir çok yönden birbirlerine benzedikleri için birlikte ele alacağız. RIP, standart bir yönlendirme protokolü olmasına rağmen IGRP ise Cisco’ya özel bir protokoldür. Dolayısıyla IGRP yönlendirme protokolünün kullanıldığı ağlarda bütün ağ aktif cihazların Cisco ürünü olması gerekmektedir. RIP protokolü koşan yönlendiriciler belli zaman aralıklarıyla yönlendirme tablolarındaki bütün ağ bilgilerini, komşuluğunda bulunan bütün yönlendiricilere broadcast yaparlar. Küçük ağlar için etkili bir biçimde çalışan RIP protokolü bantgenişliğinde ciddi bir trafik oluşturduğundan dolayı büyük ağlar için tercih edilmemektedir. IGRP, küçük ağlarda kullanılabildiği gibi orta ölçekli ağlarda da kullanılabilmektedir. RIP, metrik fonksiyonu olarak bir ağa ulaşabilmek için üzerinden geçilmesi gereken yönlendirici sayısını (hop count) kullanmaktadır. IGRP ise bantgenişliği, gecikme, güvenirlik, yük ve maksimum transmisyon biriminden (bandwidth, delay, reliability, load, MTU) oluşan fonksiyonu metrik olarak kullanılır. IGRP protokolünün metrik fonksiyonunun bantgenişliği, yük ve gecikme gibi ağdaki trafik ile ilgili parametrelerden oluşması RIP’e göre daha etkin rota tespit etmesini sağlamaktadır.

Özellik

RIP (Öngörülen Değer)

IGRP (Öngörülen Değer)

30 saniye

90 saniye

180 saniye

280 saniye

Evet

Evet

RIP v1 gönderiyor RIP v2 göndermiyor

Hayır

16

4,294,967,295

Güncelleme Zamanı Holddown Zamanı Flash (Tetiklenen) Güncelleme Var mı? Güncellemede Subnet Maskesi Gönderiliyor mu? Sonsuz Metrik Değeri

Tablo 9.14 (RIP ve IGRP Özellikleri) RIP ve IGRP protokollerinin karşılaştırılması Tablo 9.14’de görülmektedir. Öngörülen değerlere göre RIP protokolü ağda daha fazla trafik oluşturmaktadır. Ayrıca her iki protokol için de Holddown zamanı, güncelleme zamanının 3 katı kadardır. Daha önce bahsedildiği gibi metrik değer, bir ağa olan uzaklığı ifade etmektedir. Tablo 9.14’de belirtilen sonsuz metrik değeri ise güncelleme mesajı ile bilgileri alınan ağa ulaşılabilecek maksimum uzaklık değerini ifade eder. Metrik değeri tabloda belirtilen değerleri aşan bütün ağlar ulaşılamaz olarak algılanır. Yani yönlendiriciler direkt bağlı oldukları subnetleri ve başka bir yönlendiriciden aldıkları ağ bilgilerinin metrik değerini 1 (bir) artırarak diğer yönlendiricilere aktarırlar. Bu metrik değer Tablo 9.14’deki sonsuz metrik değerine ulaşınca ulaşılamaz olurlar. RIP ve IGRP protokolleri güncelleme mesajları içerisinde ağın subnet maskesini göndermemektedir. Burada bahsedilen RIP protokolü RIP v1 (versiyon 1) dir. RIP v2 protokolü subnet maskesini mesajlarda göndermektedir. Daha sonra bu konu üzerinde durulacaktır. 170

Dolayısıyla bu protokoller sınıfsal yönlendirme protokolleri (classfull routing) olarak bilinmektedir. RIP ve IGRP koşan yönlendiriciler, direkt bağlı bulundukları ağ üzerinden başka bir yönlendiriciye aynı ağa ait fakat farklı subnet maskesi içeren subnet bilgisini göndermez. Bunu bir örnekle inceleyelim. 10.0.4.0/24 E0 S0 10.0.5.0/24

S1 10.0.2.0/24 E0

S1

B

A

10.0.6.0/24

C S0

TO0

10.0.7.0/24 S1

S0 10.0.3.0/24 E0

Token-ring

10.0.1.0/24

Şekil 9.4 (Sınıfsal Yönlendirme) Şekil 9.4’deki ağdaki yönlendiricilerin yönlendirme tabloları şu şekildedir. RouterA#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set 10.0.0.0/24 is subnetted, 7 subnets 10.0.2.0 is directly connected, Ethernet0 10.0.1.0 is directly connected, TokenRing0 10.0.5.0 is directly connected, Serial1 10.0.7.0 is directly connected, Serial0 10.0.4.0 [120/1] via 10.0.5.2, 00:00:34, Serial1 10.0.6.0 [120/1] via 10.0.7.3, 00:00:27, Serial0 [120/1] via 10.0.5.2, 00:00:22, Serial1 R 10.0.3.0 [120/1] via 10.0.7.3, 00:00:27, Serial0 RouterA# C C C C R R

RouterB#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set

171

10.0.0.0/24 is subnetted, 7 subnets 10.0.4.0 is directly connected, Ethernet0 10.0.5.0 is directly connected, Serial0 10.0.6.0 is directly connected, Serial1 10.0.1.0 [120/1] via 10.0.5.1, 00:00:36, 10.0.2.0 [120/1] via 10.0.5.1, 00:00:36, 10.0.3.0 [120/1] via 10.0.6.3, 00:00:25, 10.0.7.0 [120/1] via 10.0.6.3, 00:00:25, [120/1] via 10.0.5.1, 00:00:23, RouterB# C C C R R R R

Serial0 Serial0 Serial1 Serial1 Serial0

RouterC#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR Gateway of last resort is not set 10.0.0.0/24 is subnetted, 7 subnets 10.0.3.0 is directly connected, Ethernet0 10.0.6.0 is directly connected, Serial0 10.0.7.0 is directly connected, Serial1 10.0.1.0 [120/1] via 10.0.7.1, 00:00:32, 10.0.2.0 [120/1] via 10.0.7.1, 00:00:32, 10.0.4.0 [120/1] via 10.0.6.2, 00:00:21, 10.0.5.0 [120/1] via 10.0.6.2, 00:00:21, [120/1] via 10.0.7.1, 00:00:25, RouterC# C C C R R R R

Serial1 Serial1 Serial0 Serial0 Serial1

Yönlendirme tablolarından da göründüğü gibi 10.0.0.0 ağının bütün subnetlerinin maskesi aynıdır.(255.255.255.0) Dolayısıyla A, B ve C yönlendiricileri bütün subnet bilgilerini birbirleriyle paylaşmışlardır. Yönlendiricilerin bağlı olduğu subnetlerden birinin subnet maskesini değiştirdiğinizde bu ağ bilgisi artık yönlendirme mesajları ile gönderilmeyecek ve diğer yönlendiriciler de bu ağa ait bilgiyi yönlendirme tablolarından silecektir. Sadece bu ağa bağlı yönlendiricinin yönlendirme tablosunda bu bilgi bulunacaktır. C yönlendiricisine bağlı 10.0.3.0/24 ağının subnet maskesini değiştirerek 10.0.3.0/27 ağa dönüştürdüğümüzü düşünelim. C yönlendiricisi hem Serial0 hem de Serial1 portundan bu bilgiyi diğer yönlendiricilere göndermeyecektir. Çünkü bu portların bağlı olduğu subnetlerin maskesi /24’tür. Dolayısıyla A ve B yönlendiricilerinde 10.0.3.0 ağına ait kayıt bulunmayacaktır. Fakat C yönlendiricisinin yönlendirme tablosu şu şekildedir. RouterC#show ip route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * - candidate default U – per-user static route, o – ODR

172

Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks C 10.0.3.0/27 is directly connected, Ethernet0 C 10.0.6.0/24 is directly connected, Serial0 C 10.0.7.0/24 is directly connected, Serial1 R 10.0.1.0/24 [120/1] via 10.0.7.1, 00:00:32, Serial1 R 10.0.2.0/24 [120/1] via 10.0.7.1, 00:00:32, Serial1 R 10.0.4.0/24 [120/1] via 10.0.6.2, 00:00:21, Serial0 R 10.0.5.0/24 [120/1] via 10.0.6.2, 00:00:21, Serial0 [120/1] via 10.0.7.1, 00:00:25, Serial1 RouterC# Şekil 9.4’teki örnekten anlaşılacağı üzere RIPv1 koşan yönlendiriciler farklı subnet maskesine sahip ağ bilgilerini göndermemektedirler. Bu problem RIPv2 ile çözümlenmiştir. RIPv1 ile hemen hemen aynı özelliklere sahip olan RIPv2, bazı yeni özellikler eklenerek geliştirilmiştir. Bu özelliklerden en önemlisi yönlendirme mesajlarında ağların subnet maskesi gönderilmektedir. Yukarıdaki örnekte bütün yönlendiricilerde RIPv2 koşmuş olsaydı bütün yönlendiricilerin yönlendirme tablolarında 10.0.3.0/27 ağ bilgisi de bulunacaktı. Ağdaki yönlendiricilerden bir kısmında RIPv1, diğer kısmında RIPv2 koştuğu durumlarda bu yönlendiriciler ağ bilgilerini birbirlerine gönderemeyeceklerdir. Dolayısıyla RIPv1 koşan yönlendiricilerde RIPv2 konfigüre edilmelidir. Bütün yönlendiricilerde hızlı bir şekilde RIPv2 koşturmanın zor olduğu durumlarda tek tek yönlendiriciler RIPv2 koşması için konfigüre edilmelidir. Şekil 9.4’teki örnekte B ve C yönlendiricilerinin RIPv2, A yönlendiricinin RIPv1 koştuğunu düşünelim. B ve C kendi aralarında mesaj alışverişi yaparken A yönlendiricisi bu mesajları alamayacaktır. Bu durumu ortadan kaldırmak için B ve C yönlendiricilerinin A’ya bağlı oldukları arayüz modunda ip rip send version 1 ve ip rip receive version 1 komutları kullanılmaktadır. Böylece B ve C yönlendiricileri, A yönlendiricisine bağlı oldukları ağ bilgilerini göndereceklerdir. Ayrıca C yönlendiricisi RIPv1 koştuğunda farklı subnet maskesine sahip 10.0.3.0/27 ağ bilgisini göndermezken bahsedilen komutla 10.0.3.0 ağ bilgisini A yönlendiricisine gönderecektir. Fakat RIPv1 protokolü subnet maskesini göndermediği için C yönlendiricisi A’ya ağ bilgisini 10.0.3.0 olarak gönderir. A yönlendiricisi de S0 arayüzünün subnet maskesi /24 olduğu için bu bilgiyi yönlendirme tablosuna 10.0.3.0/24 olarak kaydeder. Böylece A, B ve C yönlendiricileri RIPv1 koştuğu zaman A yönlendiricisinin yönlendirme tablosunda 10.0.3.0 ağ bilgisi yok iken ip rip send version1 ve ip rip receive version 1 komutlarıyla bu bilgi 10.0.3.0/27 olarak yönlendirme tablosuna kaydedilmektedir. Ayrıca RIPv2 düz yazı (clear text) ve MD5 kripto metodunu kullanarak yönlendirme mesajını gönderen yönlendiricinin güvenlik denetlemesini yapabilmektedir. RIPv1, rota güncellemelerini broadcast ile bütün yönlendiricilere gönderirken RIPv2 multicast (224.0.0.9) ile RIPv2 koşan yönlendiricilere gönderir. Böylece RIPv2 koşmayan yönlendiricilerin işlemcileri gereksiz yere mesajları alıp işlemci kaynaklarını boşa harcamazlar. RIPv2 koşan yönlendiriciler büyük ağlarda dış yönlendiricilerden gelen BGP gibi yönlendirme bilgilerini alarak RIPv2 güncelleme mesajlarına dönüştürürler. Böylece mevcut ağ yapısı diğer ağlarla da entegre olabilmektedir. Bütün bu özellliklerden sonra RIP ve IGRP protokollerinin konfigürasyonunun nasıl yapıldığını inceleyelim. Yönlendiricilerde ip protokolünün öngörüldüğü şekliyle aktif olduğu gibi herhangi bir yönlendirme protokolü aktif değildir. Router rip veya router igrp (proses no) global konfigürasyon komutları ile yönlendiricide RIP ve IGRP protokolleri aktif hale getirilmektedir. IGRP protokolünün konfigürasyonundaki proses no ile yönlendiricide birden fazla farklı IGRP prosesleri tanımlanabilmektedir. IGRP konuşan yönlendiricilerde ağ bilgilerini paylaşabilmeleri için aynı proses numaralarının olması gerekmektedir. RIP ve IGRP 173

protokollerinin konfigürasyonundaki en önemli komut network (ağ numarası) komutudur. Bu komut sayesinde şu fonksiyonlar gerçekleşmektedir; 9 9 9

Yönlendirme güncellemeleri RIPv1 ise broadcast, RIPv2 ise multicast ile network komutunda belirtilen ağa ait olan arayüzlerden gönderilir. Network komutunda belirtilen ağa ait olan arayüzlerden alınan güncellemeler işlenerek yönlendirme tablosuna kaydedilir. Yönlendiricinin direkt bağlı olduğu subnet, network komutunda belirtilen ağa ait ise bu ağ bilgisi komşuluktaki diğer yönlendiricilere gönderilir. 192.168.5.0/24 E0 192.168.1.0/24 S0

S1 10.0.1.0/24 E0

B

C

S1 192.168.3.0/24

A S0

TO0

S0

S1 192.168.2.0/24

192.168.4.0/24 E0

Token-ring

172.16.1.0/24

Şekil 9.5 (Yönlendirme Protokolü Konfigürasyonu) Şekil 9.5’teki örnekte C yönlendiricisinde RIP protokolünü konfigüre edelim. RouterC#configure terminal RouterC(config)#int E0 RouterC(config-if)#ip address 10.0.1.1 255.255.255.0 RouterC(config-if)#int TO0 RouterC(config-if)#ip address 172.16.1.1 255.255.255.0 RouterC(config-if)#int S0 RouterC(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config-if)#int S1 RouterC(config-if)#ip address 192.168.1.1 255.255.255.0 RouterC(config-if)#exit RouterC(config)#router rip RouterC(config-router)#network 10.0.0.0 RouterC(config-router)#network 192.168.1.0 RouterC(config-router)#network 192.168.2.0 RouterC(config-router)#network 172.16.1.0 Konfigürasyonda görüldüğü üzere ilk önce RIP protokolü router rip komutuyla aktif edilmiştir. Network komutundan sonra kullanılan ağ numarası A, B ve C sınıfı IP ağ adreslerinden biri olmak zorundadır. Bu komuttan sonra yazılan ağ bilgisi subnet veya IP adresi kesinlikle olmayacaktır. Bu komutla elde edilen fonksiyonlar daha önce belirtilmişti. Bu fonksiyonları sırasıyla incelersek; 9

Network komutuyla belirtilen 10.0.0.0, 192.168.1.0 ve 192.168.2.0 ağlara ait olan C yönlendiricisinin arayüzlerinde RIP protokolü koşacaktır. Yani C’nin E0, S0

174

ve S1 arayüzlerinden ağ bilgileri RIP mesajları ile komşu yönlendiricilere broadcast veya multicast ile gönderilecektir. 9

Ayrıca bu arayüzlerden A ve B yönlendiricilerinden alınan RIP mesajları da işlenerek yönlendirme tablosuna kaydedilecektir. Eğer alınan mesajlar RIPv1 ise subnet maskeleri olmadığı için yönlendirici alındığı arayüzün subnet maskesini uygular ve yönlendirme tablosuna kaydeder. Bu mesajlar RIPv2 ise zaten subnet maskeleri beraber alındığı için bu subnet maske kullanılır.

9

C’nin E0, S0 ve S1 arayüzleri network komutuyla belirtilen ağlara ait subnetlerde oldukları için bu subnet bilgileri arayüzlerden diğer yönlendiricilere aktarılır. Fakat C yönlendiricisi 192.168.2.0 ağını A’ya, 192.168.1.0 ağını B’ye ortak subnetleri oldukları için göndermeyecektir.

Şekil 9.5’teki örnekte E0 ve TO0 arayüzleri başka yönlendiricilere bağlı olmadıkları için bu arayüzlerde RIP protokolü koşturmak gereksizdir. RIP protokolün bu arayüzlerde çalışması yönlendiriciye gereksiz bir işlemci yükü getirmektedir. Bu arayüzlerde RIP protokolünün sadece RIP güncelleme mesajlarını dinlemesini ve RIP mesajlarını göndermesini durdurmak üzere passive-interface komutu kullanılmaktadır. RouterC(config)#router rip RouterC(config-router)#network 10.0.0.0 RouterC(config-router)#network 192.168.1.0 RouterC(config-router)#network 192.168.2.0 RouterC(config-router)#network 172.16.1.0 RouterC(config-router)#passive-interface E0 RouterC(config-router)#passive-interface TO0 Yönlendiriciler öngörüldüğü şekliyle 4 adet eşit metrik değerine sahip rotayı yönlendirme tablosunda bulundurabilirler. Böylece yönlendiriciler, trafiği bu 4 farklı eşit metrikli rotayı kullanarak yük dağılımı yaparak yönlendirirler. Yönlendirme tablosundaki eşit metrikli rota sayısını ip maximum-paths (eşit metrikli rota sayısı) komutuyla değiştirilebilmektedir. RIP protokolünün metrik değerleri üzerinden geçilen yönlendirici sayısı ile belirlendiği için eşit olma olasılığı yüksektir. Fakat IGRP protokolünün metrik değeri bir fonksiyon olduğu için eşit olma olasılığı çok azdır. Yönlendirme tablosunda yük dağılımı yapmak üzere aynı ağa giden birden fazla rotaya ihtiyaç duyulabilmektedir. Bu durumda IGRP rotaların da metrik değerleri birbirine yakın olanları aynı metriğe sahip hale getirmek üzere variance (çarpan) komutu kullanılmaktadır. Yönlendiriciler bir ağa ait en küçük metrik değerli rotayı aldıktan sonra bu metrik değeri variance komutunda belirtilen çarpan ile çarparlar. Çıkan sonuç ile en küçük metrik değer arasındaki bütün metrik değerlerine sahip rotalar bu IGRP yönlendirici için eşit metrikli rotalardır. Yönlendiriciler, ip maximum-paths komutuyla belirtilen rota sayısı kadar rotayı yönlendirme tablolarına kaydedebilirler. Ayrıca yönlendiricilerin eşit metrikli rotalar arasında yük dağılımını nasıl yapacakları traffic-share (balanced | min) komutuyla belirlenmektedir. Yapılan bu konfigürasyonların ve elde edilen neticelerin görüntülenmesini sağlayan komutlar Tablo 9.15’te görülmektedir. KOMUTLAR show ip route [subnet]

FONKSİYON Bütün yönlendirme tablosunu veya komutun sonunda belirtilen subnete ait yönlendirme tablosundaki bilgileri görüntüler.

175

show ip protocol

Yönlendirme protokol bilgilerini, parametrelerini ve zaman değerlerini görüntüler.

debug ip rip

Komutun uygulandığı sürece alınan ve gönderilen RIP mesajlarının logları görüntülenir.

debug ip igrp transactions

Komutun uygulandığı sürece alınan ve gönderilen IGRP mesajlarının logları görüntülenir.

debug ip igrp events

Komutun uygulandığı sürece alınan ve gönderilen her IGRP paketinin logları görüntülenir.

Tablo 9.15 (RIP ve IGRP komutları)

176

177

ÜNİTE 10 – ERİŞİM KONTROL LİSTELERİ Güvenlik nedeniyle ağdaki bazı segmentlere erişimi 3.ncü katman paketlerin kaynak ve hedef adreslerine göre sınırlandırmak için Erişim Kontrol Listeleri (Access Control Lists-ACL) kullanılmaktadır. Oluşturulan bu listeler yönlendiricinin hem giriş (inbound) hem de çıkış (outbound) trafiğine uygulanabilmektedir. Şekil 10.1’de görüldüğü gibi yönlendirici tarafından alınan 3.ncü katman paketinin alındığı arayüzde, giriş erişim kontrol listenin konfigüre edilip edilmediğine bakılır. Eğer edilmişse paketin izinli olup olmadığı araştırılır ve izni yoksa paket yok edilir; izni varsa paket yönlendirme mekanizmasına gönderilerek paketin hangi arayüzden yönlendirileceği incelenir. Paketin yönlendirildiği arayüzde çıkış erişim kontrol listesi konfigüre edilmişse yine paketin izinli olup olmadığı araştırılır. Eğer izni yoksa paket yok edilir; izni varsa paket yönlendirilmiş olduğu arayüzden gönderilir.

Yönlendirme Mekanizması İZİN

L3 Paket

Inbound ACL

Outbound ACL

İZİN

RED RED

Çöp

Şekil 10.1 (Giriş ve Çıkış Erişim Kontrol Listeleri) Paketlerin Erişim Kontrol Listelerinde izinli olup olmadıkları belli bir prosedürle araştırılmaktadır. 9

9

9

Erişim Kontrol Listesinde kriterler satır satır belirtilmiştir. Dolayısıyla alınan paketin listede belirtilen kriterlere uygun olup olmadığı sırayla ilk satırdan son satıra doğru yapılmaktadır. Paket sırayla incelenirken bulunan ilk eşleşen kriterin bulunduğu satırda belirtilen aksiyon (izin veya red) gerçekleştirilir. Daha sonraki satırlardaki kriterler incelenmez. Eğer bütün satırlar incelenip de eşleşen bir kriter bulunamazsa bütün Erişim Kontrol Listelerinde öngörüldüğü şekliyle ‘eşleşmeyen bütün paketleri yoket’ kuralı (implicit deny all) uygulanır.

Erişim Kontrol Listeleri konfigüre edilirken ve bu listeleri yönlendiricilerin arayüzleri ile ilişkilendirirken aşağıdaki özellikler dikkate alınmalıdır. ¾ ¾ ¾

¾

Erişim Kontrol Listeleri oluşturulduktan sonra mutlaka bir arayüzle ilişkilendirilmelidir. Aksi takdirde bu liste aktif olmayacaktır. Erişim Kontrol Listeleri en belirgin kriterden en genel kritere doğru yukarıdan başlayarak organize edilmelidir. Yeni bir kriter listeye eklendiğinde bu kriter listenin en sonuna yazılmaktadır. Listeden bir satır silmek veya araya yeni bir satır eklemek İsimli (named) Erişim Kontrol Listeleri hariç mümkün değildir. Bunu yapabilmek için listenin tamamını yazı editörüne aktarıp istenen değişiklik burada yapılmak zorundadır. Erişim Kontrol Listeleri, yönlendiricinin üzerinden geçecek trafiğe uygulanmaktadır. Yönlendirici tarafından oluşturulan trafiğe uygulanmaz.

178

¾

IP Standart Erişim Kontrol Listesi mümkün olduğu kadar hedefe, IP Genişletilmiş Erişim Kontrol Listesi ise mümkün olduğu kadar kaynağa yakın olmalıdır.

IP ve IPX için 3 farklı Erişim Kontrol Listesi vardır. Bunları örneklerle inceleyeceğiz. Bunlar; Standart Erişim Kontrol Listesi: IP için sadece Kaynak adresine, IPX için ise hem kaynak hem hedef adresine göre filtrelemenin mümkün olduğu listelerdir. Listede belirtilen aksiyona göre IP ve IPX paketine izin verilir veya bloklanır. Genişletilmiş Erişim Kontrol Listesi: IP paketlerinde hem kaynak hem hedef adresine göre filtrelemenin mümkün olduğu listelerdir. Ayrıca bu listelerde Ağ katmanındaki protokol bilgisi ve Transport katmanındaki port numarasına göre de filtreleme yapmak mümkündür. IPX paketlerinde de kaynak, hedef adresi, Ağ katmanındaki protokol ve Transport katmanındaki soket bilgisine göre filtreleme yapılabilmektedir. İsimli Erişim Kontrol Listesi: İsimli Erişim Kontrol Listeleri aslında diğer iki listelerden türetilmiştir. Standart ve Genişletilmiş Erişim Kontrol Listeleri oluşturulurken numaralar kullanılmaktadır. Fakat İsimli listeler oluşturulurken kullanılan komutlarda listenin Standart veya Genişletilmiş olduğu belirtilecektir. (ip access-list standard veya ip access-list extended gibi) Numaraları hatırlamak kolay olmadığı için isimle konfigürasyon tercih edilmektedir. Ayrıca Standart ve Genişletilmiş Erişim Kontrol Listelerinde bir satırı silmek mümkün değildir. Fakat İsimli listelerde bunu yapmak mümkündür. Aşağıda oluşturulabilecek Erişim Kontrol Listelerine ait numaraları görebilirsiniz. Bu kitabın içeriği IP ve IPX Erişim Kontrol Listelerini aşmayacaktır. Router(config)#access-list ? IP standard access list IP extended access list IPX SAP access list Extended 48-bit MAC address access list IPX summary address access list Protocol type-code access list DECnet access list XNS standard access list XNS extended access list Appletalk access list 48-bit MAC address access list IPX standard access list IPX extended access list Yönlendiricilerin arayüzleri güvenliği sağlamak üzere Erişim Kontrol Listeleri ile ilişkilendirildiği daha önce belirtilmişti. Arayüzlerin giriş veya çıkış trafiğine uygulanan bu listeler alınan veya gönderilmek istenen paketlere uygulanmaktadır. Yönlendiriciler, paketlerin Erişim Kontrol Listelerindeki kriterlere uygun olup olmadığını öncelikle 3.ncü katman adreslere bakarak tespit ederler. Paketin kaynak ve hedef adresin listede belirtilen adres içerisinde olup olmadığını anlamak için subnet maskeye benzer bir yapıda olan wildcard maske kullanılmaktadır. Erişim Kontrol Listelerinde izin verilecek veya bloklanacak trafik çoğu zaman bir subnet olabilmektedir. Tek tek adres yazmak yerine bir grup adresi ifade etmeyi kolaylaştıran wildcard maske kullanılmaktadır. Erişim Listelerini oluştururken IP adresi ve wildcard maske sırasıyla yazılır. IP adresi ile maskenin her biti sırayla karşılaştırılır. Maskenin biti 1 ise IP adresinin bu bite karşılık 179

gelen değeri önemli değildir. Eğer maskenin biti 0 ise IP adresinde bu bite karşılık gelen bit değeri aynen yazılır. Elde edilen IP adresi paketin kaynak veya hedef adresindeki IP adresinin bit değerleriyle yine sırayla tek tek karşılaştırılır. Eğer bit değerleri tam olarak eşleşiyorsa Erişim listesinde belirtilen işlem (izin veya red) yapılır. Tablo 10.1‘deki örnekleri inceleyebilirsiniz. Örnek 1

Örnek 2

Erişim Listesindeki IP Adresi

8.25.32.6 00001000.00011001.00100000.00000110

192.168.5.0 11000000.10101000.00000101.00000000

Erişim Listesindeki Wildcard Maske

0.0.0.0 00000000.00000000.00000000.00000000

0.0.0.255 00000000.00000000.00000000.11111111

Eşleşen Alternatif IP Adres(ler)i

8.25.32.6

192.168.5.0 - 192.168.5.255

Eşleşen Alternatif IP Adres(ler)inin Binary Değeri

00001000.00011001.00100000.00000110

11000000.10101000.00000101.00000001 ..... 11000000.10101000.00000101.11111111

Açıklama

Tek bir IP adresiyle eşleşmektedir.

192.168.5.0/24 subnetindeki IP adresleri ile eşleşmektedir.

Örnek 3

Örnek 4

Erişim Listesindeki IP Adresi

172.16.3.6 10101100.00010000.00000011.00000110

17.0.0.0 00010001.00000000.00000000.00000000

Erişim Listesindeki Wildcard Maske

0.0.255.255 00000000.00000000.11111111.11111111

15.255.255.255 00001111.11111111.11111111.11111111

Eşleşen Alternatif IP Adres(ler)i

172.16.0.1- 172.16.255.255

16.0.0.0-16.255.255.255 .... 31.0.0.0-31.255.255.255

Eşleşen Alternatif IP Adres(ler)inin Binary Değeri

10101100.00010000.00000000.00000001 .... 10101100.00010000.11111111.11111111

00010000.00000000.00000000.00000000 .... 00010000.11111111.11111111.11111111 00011111.00000000.00000000.00000000 .... 00011111.11111111.11111111.11111111

Açıklama

172.16.0.0/16 subnetindeki IP adresleri ile eşleşmektedir.

16.0.0.0/8'dan 31.0.0./8'a kadar olan subnetlerin IP adresleri ile eşleşmektedir.

Örnek 5

Örnek 6

Erişim Listesindeki IP Adresi

212.155.3.0 11010100.10011011.00000011.00000000

12.35.54.23 00001100.00100011.00110110.00010111

Erişim Listesindeki Wildcard Maske

64.48.0.224 01000000.00110000.00000000.11100000

255.255.255.255 11111111.11111111.11111111.11111111

Eşleşen Alternatif IP Adres(ler)i

-

-

180

Eşleşen Alternatif IP Adres(ler)inin Binary Değeri

1x010100.10xx1011.00000011.xxx00000

xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx

Açıklama

Özel bir ağ ile eşleşmez. X işaretinin olduğu bitler 0 ya da 1 olabilir.

Herhangi bir IP adresi ile eşleşmektedir.

Tablo 10.1 (Wildcard Maske) 10.1. STANDART IP ERİŞİM KONTROL LİSTELERİ IP ağlarda trafik kontrolünü yapmak ve bazı kullanıcı ya da bazı segmentteki kullanıcıların tamamını istenilen subnete, bilgisayara veya ağ kaynağına erişimini engellemek üzere Erişim Kontrol Listeleri kullanılmaktadır. Standart IP Erişim Kontrol Listesi sadece paketlerin kaynak IP adreslerine göre kısıtlamalar yapabilmektedir. Bu erişim listeleri 1 ile 99 kapalı aralığındaki liste numaralarını kullanmaktadır. Erişim listesi access-list{1-99} {permit|deny} kaynak-adres [kaynak-maske] global konfigürasyon komutu ile oluşturulmaktadır. Oluşturulan bu listeler ip access-group {Erişim-Liste-numarası|ErişimListe Adı [in|out]} arayüz komutu ile de bulunduğu arayüz modunda aktif edilmektedir. Şekil 10.2’deki örnekte • • • •

A ve C kullanıcısı F sunucusuna ulaşmaması, 10.0.2.0/24 ağı ile 10.0.3.0/24 ağı birbirlerine ulaşmaması, 10.0.1.0/24 Token-Ring ağı Araştırma Geliştirme Departmanı olduğu için kendi içerisinde iletişim yapabilmesi fakat diğer subnetlerin bu subnete ulaşmaması, Diğer bütün durumlarda iletişimin yapılabilmesi istenmektedir.

Konfigürasyonu yapmadan önce kullanıcıların IP adreslerini belirtelim. A: 10.0.2.2 D: 10.0.3.3

B: 10.0.2.3 E: 10.0.4.2

C: 10.0.3.2 F: 10.0.4.3

Access-list global komutunda adres belirtirken tek bir adres iki farklı şekilde yazılabilir. Şekil 10.2’deki örneğin konfigürasyonunda belirtildiği üzere host 10.0.5.2 ile 10.0.5.2 0.0.0.0 arasında herhangi bir fark yoktur. Ayrıca yine access-list global komutunun adres kısmında belirtilen any ile 0.0.0.0 255.255.255.255 adresleri arasında bir fark yoktur. İkisi de olabilecek bütün IP adreslerini ifade etmektedir.

181

E

10.0.4.0/24

F

Ethernet

E0

10.0.2.0/24

B

Ethernet

A

S1 E0

S0

S1

B

A

C

S0 TO0

10.0.6.0/24

10.0.7.0/24

S1

Token-ring

S0 E0

C Ethernet

10.0.5.0/24

10.0.3.0/24

D

10.0.1.0/24

Şekil 10.2 (Standart IP Erişim Kontrol Listeleri)

RouterA#config ter RouterA(config)#int E0 RouterA(config-if)#ip address 10.0.2.1 255.255.255.0 RouterA(config-if)#int TO0 RouterA(config-if)#ip address 10.0.1.1 255.255.255.0 RouterA(config-if)#int S0 RouterA(config-if)#ip address 10.0.7.1 255.255.255.0 RouterA(config-if)#int S1 RouterA(config-if)#ip address 10.0.5.1 255.255.255.0 RouterA(config-if)#exit RouterA(config)#access-list 5 deny host 10.0.2.2 RouterA(config)#access-list 5 permit any RouterA(config)#int S1 RouterA(config-if)#ip access-group 5 RouterA(config-if)#exit RouterA(config)#access-list 6 deny 10.0.2.0 0.0.0.255 RouterA(config)#access-list 6 permit any RouterA(config)#int S0 RouterA(config-if)#ip access-group 6 RouterA(config-if)#exit RouterA(config)#access-list 7 deny 10.0.0.0 0.0.7.255 RouterA(config)#access-list 7 permit any RouterA(config)#int TO0 RouterA(config-if)#ip access-group 7 RouterB#config ter RouterB(config)#int E0 RouterB(config-if)#ip address 10.0.3.1 255.255.255.0 RouterB(config-if)#int S0 RouterB(config-if)#ip address 10.0.6.3 255.255.255.0 RouterB(config-if)#int S1 RouterB(config-if)#ip address 10.0.7.3 255.255.255.0 RouterB(config-if)#exit

182

RouterB(config)#access-list 5 deny host 10.0.3.2 RouterB(config)#access-list 5 permit any RouterB(config)#int S0 RouterB(config-if)#ip access-group 5 RouterB(config-if)#exit RouterB(config)#access-list 6 deny 10.0.3.0 0.0.0.255 RouterB(config)#access-list 6 permit any RouterB(config)#int S1 RouterB(config-if)#ip access-group 6 RouterB(config-if)#exit Yukarıdaki konfigürasyonda bütün WAN bağlantıları çalıştığında trafik istenilen kriterlere göre çalışacaktır. Fakat A ve B yönlendiricileri arasındaki WAN bağlantısı aktif olmadığı zaman A kullanıcısı C yönlendicirisi üzerinden F sunucusu ile iletişim kurabilecektir. Çünkü A yönlendiricisi, B yönlendiricisi ile olan bağlantısını kaybettikten sonra alternatif bir rota arayacak ve C üzerinden B’ye ulaşabileceğini öğrenecek ve yönlendirme tablosunu bu yeni bilgilere göre güncelleyecektir. A yönlendiricisinde konfigüre edilen A kullanıcısının C sunucusuna ulaşmasını engelleyen 5 nolu Erişim Listesi A’nın S1 arayüzü ile ilişkilendirildiği için S0 arayüzündeki trafik üzerinde etkili olamayacaktır. Ayrıca A kullanıcısının 10.0.4.0/24 subnetinde sadece F sunucusuna erişimine izin verilmediği halde bu subnetteki diğer bütün kaynaklara da ulaşamamaktadır. Aynı durum 10.0.3.0/24 subnetindeki C kullanıcısının F sunusuna ulaşması engelleyen kısıt için de geçerlidir. B ve C yönlendiricileri arasındaki WAN bağlantısı düştüğünde C yönlendirici B’ye A üzerinden ulaşacaktır. Yeni bilgiler doğrultusunda yönlendirme tablosunu güncelleyecektir. Ayrıca C kullanıcısı da 10.0.4.0/24 subnetindeki bütün kaynaklara ulaşamayacaktır. Bu durumlardan farklı olarak eğer A ve C yönlendiricileri arasındaki WAN bağlantısı düşerse, 10.0.3.0/24 ve 10.0.2.0/24 subnetlerinin birbirlerine ulaşmama kısıtı için her iki yönlendiricide konfigüre edilen 6 nolu Erişim Listesi de devre dışı kalacak ve bu subnetler iletişim kurabilecektir. A ve C yönlendiricileri WAN bağlantısının düştüğünü farkettikten hemen sonra birbirlerine ulaşabilecekleri farklı rota araştırırlar. Her iki yönlendirici de birbirlerine C üzerinden ulaşabileceklerini öğrenir ve buna göre yönlendirme tablosunu güncellerler. Kısıtı sağlayan 6 nolu Erişim Listesi sadece birbirlerine direkt bağlı oldukları arayüzler de ilişkilendirildiği için diğer WAN arayüzlerinden iletişim kurmalarını engellemez. Yönlendiricilerde oluşturulan Erişim Liste numaraları sadece oluşturulduğu yönlendiriciye özel bir numaradır. Aynı ağda bulunan yönlendiricilere aynı Erişim Liste numarası verilmek zorunda değildir. Örnekte konfigüre edilen Erişim Liste numaralarının aynı olmasının herhangi özel bir durum ve anlamı yoktur. Yukarıdaki konfigürasyonda WAN bağlantılarının düşmesi durumunda kısıtların ortadan kalkması istenilen bir durum değildir. Yeni bir konfigürasyonla bunu aşmaya çalışalım. RouterA(config)#access-list 5 deny host 10.0.2.2 RouterA(config)#access-list 5 permit any RouterA(config)#int S1 RouterA(config-if)#ip access-group 5 RouterA(config-if)#int S0 RouterA(config-if)#ip access-group 5 RouterA(config-if)#exit RouterA(config)#access-list 6 deny 10.0.2.0 0.0.0.255 RouterA(config)#access-list 6 permit any

183

RouterA(config)#int S0 RouterA(config-if)#ip access-group 6 RouterA(config-if)#int S1 RouterA(config-if)#ip access-group 6 RouterA(config-if)#exit RouterA(config)#access-list 7 deny 10.0.0.0 0.0.7.255 RouterA(config)#access-list 7 permit any RouterA(config)#int TO0 RouterA(config-if)#ip access-group 7 RouterB(config)#access-list 5 deny host 10.0.3.2 RouterB(config)#access-list 5 permit any RouterB(config)#int S0 RouterB(config-if)#ip access-group 5 RouterB(config-if)#int S1 RouterB(config-if)#ip access-group 5 RouterB(config-if)#exit RouterB(config)#access-list 6 deny 10.0.3.0 0.0.0.255 RouterB(config)#access-list 6 permit any RouterB(config)#int S0 RouterB(config-if)#ip access-group 6 RouterB(config-if)#int S1 RouterB(config-if)#ip access-group 6 RouterB(config-if)#exit Yeni konfigürasyonda daha önce belirtilen boşluklar doldurulmuş ve WAN bağlantılarının düşmesi durumunda belirtilen eksikliklerden dolayı kısıtların kalkması sözkonusu değildir. Fakat WAN bağlantıların aktif olduğu normal durumda olmaması gereken bazı kısıtlar oluşturulmuştur. A ve C kullanıcılarının sadece F sunucusuna erişiminin engellenmesi gerekirken; yeni erişim listesi A ve C kullanıcılarının bulundukları subnetler hariç ağdaki diğer bütün ağ kaynaklarına erişimini engellemektedir. Ayrıca 10.0.2.0/24 ve 10.0.3.0/24 subnetlerinin sadece birbirlerine erişiminin engellenmesi gerekirken; yeni konfigürasyonla 10.0.2.0/24 subneti 10.0.1.0/24 subneti hariç ağın diğer bütün subnetlerine; 10.0.3.0/24 subneti ise ağın bütün subnetlerine erişimi engellenmiştir. RouterA(config)#access-list 6 deny 10.0.3.0 0.0.0.255 RouterA(config)#access-list 6 permit any RouterA(config)#int E0 RouterA(config-if)#ip access-group 6 RouterA(config-if)#exit RouterA(config)#access-list 7 deny 10.0.0.0 0.0.7.255 RouterA(config)#access-list 7 permit any RouterA(config)#int TO0 RouterA(config-if)#ip access-group 7 RouterB(config)#access-list 6 deny 10.0.2.0 0.0.0.255 RouterB(config)#access-list 6 permit any RouterB(config)#int E0 RouterB(config-if)#ip access-group 6 RouterC#config ter RouterC(config)#int E0

184

RouterC(config-if)#ip address 10.0.4.1 255.255.255.0 RouterC(config-if)#int S0 RouterC(config-if)#ip address 10.0.5.2 255.255.255.0 RouterC(config-if)#int S1 RouterC(config-if)#ip address 10.0.6.2 255.255.255.0 RouterC(config-if)#exit RouterC(config)#access-list 5 deny host 10.0.2.2 RouterC(config)#access-list 5 deny host 10.0.3.2 RouterC(config)#access-list 5 permit any RouterC(config)#int E0 RouterC(config-if)#ip access-group 5 Son konfigürasyonda WAN bağlantılarının aktif olduğu veya olmadığı durumlarda belirtilen kriterler sağlanmaktadır. A ve C kullanıcıları kesinlikle F sunucusuna ulaşamamaktadır. WAN bağlantılarının düşmesi hiç bir etki oluşturmaz. Ayrıca A ve C yönlendiricilerinin direkt bağlı oldukları ethernet subnetler de birbirlerine bütün şartlarda ulaşamamaktadırlar. Fakat bu çözüm de mükemmel değildir. A ve C kullanıcılarından kaynaklanan F sunucusuna olan trafik, WAN bağlantısının aktif olma ve olmama durumuna bağlı olmaksızın ağda dolaşmaktadır. Dolayısıyla gereksiz yere ağın performansını düşürmektedir. A ve C yönlendiricilerinin bağlı oldukları ethernet subnetlerinin de birbirlerine olan trafiği aynı nedenden dolayı ağda dolaşması ağ performansını olumsuz yönde etkilemektedir. Bütün bu alternatif çözümler şunu göstermektedir ki Standart IP Erişim Kontrol Listeleri yetersiz kalabilmektedir. Daha geniş opsiyonları içeren Erişim Listesi ancak bu yetersizliklere cevap verebilecektir. 10.2. GENİŞLETİLMİŞ IP ERİŞİM KONTROL LİSTELERİ Standart IP Erişim Kontrol Listeleri, büyük ağlarda çok sayıda kısıtın uygulanmasında yetersiz kalmakta ve yapılan çözüm çoğunlukla güvenlik açığı bırakmaktadır. access-list {100-199} {permit|deny} protokol-tipi kaynak-adres [kaynak-maske] [işlem port-no|protokol-adı] hedef-adres [hedef-maske] [işlem port-no|protokol-adı] [established] komutuyla Genişletilmiş IP Erişim Listeleri oluşturulmaktadır. Komuttan da anlaşılacağı gibi paketler, kaynak ve hedef adreslerine, protokol tipine, hem hedef hem kaynak bilgisayardaki port numarasına göre incelenebilmektedir. Yukarıdaki komutta işlem olarak eq (equal=eşit), neq (not equal=eşit değil), lt (less than=-den küçük), gt (greater than=-den büyük) kullanılmaktadır. Bu değerlerden sonra port numarası veya protokol adı belirtilmektedir. Genişletilmiş IP Erişim listelerine 100 ile 199 kapalı aralığında liste numarası verilmektedir. Oluşturulan bu erişim listeleri ip access-group {Erişim-Liste-numarası|ErişimListe Adı [in|out]} arayüz komutu ile de bulunduğu arayüz modunda aktif edilmektedir. Access-list komutunu daha iyi kavrayabilmek için Tablo 10.2’yi inceleyiniz.

KOMUT

KOMUTUN YORUMU

access-list 105 permit tcp any host 192.168.1.3 eq 23

185

105 nolu erişim listesi ağdaki bütün bilgisayarların 192.168.1.3 bilgisayarıyla 23 nolu TCP portundan iletişimine izin vermektedir.

access-list 186 deny udp any any

186 nolu erişim listesi ağdaki herhangi bilgisayarın ağdaki başka bir bilgisayarla UDP protokolü ile iletişimini engellemektedir.

access-list 199 deny tcp 12.0.0.0 0.255.255.255 eq telnet any

199 nolu erişim listesi 12.0.0.0 subnetinin ağdaki diğer bilgisayarlara telnet ile erişimini engellemektedir.

access-list 105 permit ip 164.56.0.0 0.0.255.255 175.87.0.0 0.0.255.255

105 nolu erişim listesi 164.56.0.0 subnetinin 175.87.0.0 subnetine IP protokol ile erişimine izin vermektedir.

access-list 105 deny tcp any lt 1023 15.34.0.0 0.0.255.255

105 nolu erişim listesi ağdaki herhangi bir bilgisayarın 15.34.0.0 subnetine 1023 den daha küçük TCP portundan erişimini engellemektedir.

access-list 105 deny tcp 192.156.6.0 0.0.0.255 212.67.78.0 0.0.0.255 gt 1023

105 nolu erişim listesi 192.156.6.0 subnetinden bir bilgisayarın 212.67.78.0 subnetine 1023 den daha büyük TCP portundan erişimini engellemektedir.

access-list 105 deny icmp any 192.168.1.0 0.0.0.255 echo

105 nolu erişim listesi ağdaki herhangi bir bilgisayarın 192.168.1.0 subnetine ping atmasını engellemektedir.

Tablo 10.2 (Access-list komutu) Tablo 10.2’deki örneklerden de anlaşılacağı gibi Standart Erişim Listelerindeki kısıtlar bulunmamaktadır. Access-list komutunda kısıtın veya iznin verileceği protokol türü belirtildikten sonra paketin, sırasıyla kaynak ve hedef adresleri belirtilmektedir. Adresler sadece bir bilgisayarın IP adresini (host 192.168.1.3) ifade edebildiği gibi, belli bir subneti (12.0.0.0 0.0.0.255) veya bütün bir ağı (any) da ifade edebilmektedir. Adreslerden hemen sonra numara veya adı ile belirtilen port bilgileri de kısıtı daha da daraltma imkanı sunmaktadır. Kaynak ve hedef adreslerinden hemen sonra belirtilen port bilgileri dikkatle yerleştirilmelidir. Kaynak adresinden sonraki port bilgisi paketin kaynak bilgisayarının port adresini, hedef adresinden sonraki port bilgisi de hedef bilgisayarının port adresini ifade etmektedir. İki bilgisayar birbirleriyle iletişim kurarken, iletişim kurmak isteyen bilgisayar istemci diğeri ise sunucu durumunda olduğunu hatırlamalısınız. Daha önceki konularda belirtildiği gibi istemci durumundaki makine her zaman port numarası olarak 1024’den sonraki port numarasını rastgele seçerken sunucu bilgisayarın (yani hedef bilgisayarın) port numarası bilinen (wellknown) port yani 1024’den küçük port numarası olmak zorundadır. Aksi takdirde hedef bilgisayar hangi protokol ile konuşacağını bilemeyecektir. Bu detay Erişim Listesini konfigüre ederken mutlaka hatırlanmalıdır. Aksi takdirde istenmeyen sonuçlar çıkabilir ve iletişimi aksatabilir. Şekil 10.3’deki örnek daha önce Standart IP Erişim Listesi ile belli kısıtları sağlamak üzere konfigüre edilmişti. Fakat farklı konfigürasyonların bazı dezavantajları bulunmaktaydı. Aynı örneği daha fazla kriterlerle Genişletilmiş IP Erişim Listesi ile konfigüre edeceğiz.

186

E

10.0.4.0/24

F

Ethernet

E0

10.0.2.0/24

B

Ethernet

A

S1 E0

S1

S0

B

A

C

S0 TO0

10.0.6.0/24

10.0.7.0/24

Token-ring

S1

S0 E0

C Ethernet

10.0.5.0/24

10.0.3.0/24

D

10.0.1.0/24

Şekil 10.3 (Genişletilmiş IP Erişim Kontrol Listeleri) A: 10.0.2.2 D: 10.0.3.3

B: 10.0.2.3 E: 10.0.4.2

C: 10.0.3.2 F: 10.0.4.3

Şekil 10.3’deki örnekte bütün uygulamalar TCP protokolünü kullanmaktadır. Bu ağda, • • • • • •



A ve C kullanıcısı F sunucusuna ulaşmaması, E sunucusunda veritabanı olduğu için bütün kullanıcıların ulaşması, Bütün kullanıcıların E ve F sunucusunun dışındaki bütün bilgisayarlara karşılıklı olarak erişiminin sağlanması, 10.0.2.0/24 ağı ile 10.0.3.0/24 ağı birbirlerine ulaşmaması, 10.0.1.0/24 Token-Ring ağı Araştırma Geliştirme Departmanı olduğu için kendi içerisinde iletişim yapabilmesi fakat diğer subnetlerin bu subnete ulaşmaması, 10.0.1.0/24 subnetinin dışındaki bütün subnetlerde Araştırma Geliştirme Departmanına katkıda bulunmak üzere görevlendirilen kullanıcıların 10.0.1.0/24 subnetine sadece 5050 TCP portundan ulaşması (Bu kullanıcılara bulundukların subnette son 4’te 1’lik kısımda IP Adresi dağıtılmıştır.) , Diğer bütün durumlarda iletişimin yapılabilmesi istenmektedir.

RouterA(config)#access-list 105 deny tcp host 10.0.2.2 host 10.0.4.3 RouterA(config)#access-list 105 deny tcp 10.0.2.0 0.0.0.255 10.0.3.0 0.0.0.255 RouterA(config)#access-list 105 deny tcp 10.0.2.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterA(config)#access-list 105 permit tcp any any RouterA(config)#int E0 RouterA(config-if)#ip access-group 105 in RouterA(config-if)#exit RouterA(config)#access-list 106 permit tcp 10.0.0.192 0.0.7.63 10.0.1.0 0.0.0.255 eq 5050 RouterA(config)#access-list 106 permit tcp 10.0.1.0 0.0.0.255 eq 5050 10.0.0.192 0.0.7.63 RouterA(config)#access-list 106 permit tcp 10.0.1.0 0.0.0.255 10.0.4.0 0.0.0.255 RouterA(config)#access-list 106 deny tcp any any RouterA(config)#int TO0 RouterA(config-if)#ip access-group 106 RouterB(config)#access-list 105 deny tcp 10.0.4.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterB(config)#access-list 105 permit tcp any any

187

RouterB(config)#int E0 RouterB(config-if)#ip access-group 105 RouterC(config)#access-list 105 deny tcp host 10.0.3.2 host 10.0.4.3 RouterC(config)#access-list 105 deny tcp 10.0.3.0 0.0.0.255 10.0.2.0 0.0.0.255 RouterC(config)#access-list 105 deny tcp 10.0.3.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterC(config)#access-list 105 permit tcp any any RouterC(config)#int E0 RouterC(config-if)#ip access-group 105 in Şekil 10.3’teki ağ için belirtilen kısıtların nasıl konfigüre edildiğini inceleyelim. A ve C yönlendiricilerindeki 105 nolu erişim listesinin ilk satırları A ve C kullanıcılarının F sunucusuna erişimini engellemektedir. Yine aynı yönlendiricilerin 105 nolu erişim listesinin ikinci satırında 10.0.2.0/24 ve 10.0.3.0/24 ağlarının birbirlerine erişimini engellemektedir. Bu iki kısıtın yönlendiricilerin ethernet portu ile ilişkilendirilmesi trafiğin kaynağından çıkmasını önleyerek gereksiz yere bantgenişliği kullanılmasını engellemektedir. A ve B yönlendiricilerinin 105 nolu erişim listesinin 3.ncü satırında, C yönlendiricisinin 105 nolu erişim listesinin ilk satırında belirtilen kısıtlar, A yönlendiricine bağlı olan Token-ring ağında bulunan Araştırma ve Geliştirme departmanıyla beraber proje geliştiren ve IP adresleri ağdaki subnetlerin son 4’te 1’lik diliminde bulunan bilgisayarların bu departmana TCP 5050 portunu kullanarak erişimini ifade etmektedir. Erişim listelerindeki kaynak adres bölümündeki 10.0.x.0 0.0.0.191 adresi subnetlerin son 4’te 1’lik dilimini ifade etmektedir. Şöyle ki; 00001010.00000000.x.00000000 00000000.00000000.0.10111111 00001010.00000000.x.x0xxxxxx Daha önce bahsedildiği gibi wildcard maskelerde 0 bulunan bitlere karşılık gelen bitler aynen korunmalı, 1 bulunan bitlere karşılık gelen bitler ise 0 ya da 1 olabilmektedir. Bu duruma göre elde edilen alternatif IP adresleri 10.0.x.0-10.0.x.191 aralığındadır. Bu aralıktaki IP adresleri 10.0.1.0/24 subnetine TCP 5050 portundan ulaşmak istedikleri zaman izin verilmeyecektir. Bu trafik yönlendiricilerin ethernet portundan kısıtlanarak ağın bantgenişliğini gereksiz yere kullanması engellenmektedir. A yönlendiricisinde konfigüre edilen 106 nolu erişim listesinin ilk satırında izin verilen trafik aynı kısıtı ifade etmektedir. İki konfigürasyonun aynı anda konfigüre edilmesi gerekmemektedir. Fakat yönlendiricilerin bağlı oldukları ethernet subnetlerinde diğer yönlendiricilere bağlı olan subnetlerinden IP adresine sahip bir bilgisayar bulunması durumunda A yönlendiricisinin 106 nolu erişim listesi bu bilgisayarın erişimini engellemektedir. Aksi takdirde bu erişim listesinin yokluğu güvenlik açığı oluşturmaktadır. Yani B yönlendiricisinin ethernet subnetinde 10.0.3.0/24 subnetinden bir IP adresine sahip bilgisayar Token-Ring ağa ulaşmak istediğinde A yönlendiricisinde 106 nolu liste konfigüre edilmemişse ulaşabilecektir. Böyle bir durum sözkonusu değilse bu liste gereksizdir. Çünkü diğer erişim listeleri kısıtlanan trafiği kaynağından bloklamaktadırlar. Yukarıdaki konfigürasyon diğer bütün kısıt ve istekleri karşılamaktadır. A yönlendiricisinde konfigüre edilen 105 ve 106 nolu erişim listesi farklı şekilde konfigüre edildiğine dikkat ediniz. Eğer kısıtlanacak trafik az ise 105 nolu listede olduğu gibi bu trafikler kısıtlanır ve diğer bütün trafiğe izin verilir. Eğer izin verilecek trafik az ise 106 nolu listede olduğu gibi önce izin verilir ve sonra diğer bütün trafik kısıtlanır. 10.3. İSİMLİ IP ERİŞİM KONTROL LİSTELERİ

188

İsimli IP Erişim Kontrol Listeleri, Standart ve Genişletilmiş listelerinden sadece konfigüre ediliş tarzı açısından farklılık arzeder. Standart ve Genişletilmiş Erişim listeleri, konfigürasyon modunda iken satır satır hem liste numarası hem de aktivasyon türü belirtilerek konfigüre edilir. İsimli Erişim listesinde ise listenin türüne göre (standart veya genişletilmiş) mod oluşturulur ve bu listenin bütün kısıtları bu modda iken konfigüre edilir. Dolayısıyla istenilen kısıt hangi satırda olursa olsun çıkartılabilir. Halbuki diğer iki erişim listelerinde bunu yapmak ancak word editörüne aktarılarak mümkündür. Ayrıca İsimli Erişim listelerine anlamlı isimler verilerek hatırlanması daha da kolaylaştırılabilir ve karışıklılık önlenebilmektedir. Fakat yönlendiricide her bir protokol (IP, IPX vb.) için sadece tek bir isimli erişim listesi bulunabilmektedir. Ağdaki farklı yönlendiricilerde aynı protokol için aynı isimli erişim listesi olabilmektedir. Yani Erişim listeleri sadece lokal cihaza özgüdür. İsimli Erişim Listesi , Router(config)#ip access-list {extended | standard} ErişimListeAdı komutuyla oluşturulur. Bu komutla erişim listesi moduna geçilir. Listedeki kısıtlar bu modda iken Router(config-ext-nacl)#{deny | permit} protokol-tipi kaynak-adres [kaynak-maske] [işlem port-no|protokol-adı] hedef-adres [hedef-maske] [işlem port-no|protokol-adı] komutuyla oluşturulur. Yukarıdaki örneği İsimli Erişim Kontrol Listeleri ile aynı şekilde konfigüre edelim. RouterA(config)#ip access-list extended kontrolEthernet RouterA(config-ext-nacl)#deny tcp host 10.0.2.2 host 10.0.4.3 RouterA(config-ext-nacl)#deny tcp 10.0.2.0 0.0.0.255 10.0.3.0 0.0.0.255 RouterA(config-ext-nacl)#deny tcp 10.0.2.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterA(config-ext-nacl)#permit tcp any any RouterA(config)#int E0 RouterA(config-if)#ip access-group kontrolEthernet in RouterA(config-if)#exit RouterA(config)#ip access-list extended kontrolTokenRing RouterA(config-ext-nacl)#permit tcp 10.0.0.192 0.0.7.63 10.0.1.0 0.0.0.255 eq 5050 RouterA(config-ext-nacl)#permit tcp 10.0.1.0 0.0.0.255 eq 5050 10.0.0.192 0.0.7.63 RouterA(config-ext-nacl)#permit tcp 10.0.1.0 0.0.0.255 10.0.4.0 0.0.0.255 RouterA(config-ext-nacl)#deny tcp any any RouterA(config)#int TO0 RouterA(config-if)#ip access-group kontrolTokenRing RouterB(config)#ip access-list extended kontrolEthernet RouterB(config-ext-nacl)#deny tcp 10.0.4.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterB(config-ext-nacl)#permit tcp any any RouterB(config)#int E0 RouterB(config-if)#ip access-group kontrolEthernet RouterC(config)#ip access-list extended kontrolEthernet RouterC(config-ext-nacl)#deny tcp host 10.0.3.2 host 10.0.4.3 RouterC(config-ext-nacl)#deny tcp 10.0.3.0 0.0.0.255 10.0.2.0 0.0.0.255 RouterC(config-ext-nacl)#deny tcp 10.0.3.0 0.0.0.191 10.0.1.0 0.0.0.255 eq 5050 RouterC(config-ext-nacl)#permit tcp any any RouterC(config)#int E0 RouterC(config-if)#ip access-group kontrolEthernet in

189

Yukarıdaki konfigürasyonda hatalı bir satır yazıldığında veya yapılan bir kısıtın kaldırılması gerektiğinde erişim listenin modunda iken (Router(config-ext-nacl)) no deny ... veya no permit ... komutuyla hangi satır silinecekse o satırın başına no ekleyerek silinebilmektedir. DİKKAT : Telnet bağlantısıyla yönlendiricilere ulaşmanın mümkün olduğu durumlarda kısıtlara ihtiyaç duyulabilmektedir. Yukarıda anlatıldığı gibi erişim listeleri oluşturulur. Fakat ip accessgroup komutuyla ilişkilendirilmez. Access-class listeNo veya listeAdı {in | out} komutuyla ilişkilendirilir. Yukarıdaki örnekte C yönlendiricide konfigüre edilen kontrolEthernet IP erişim listesini telnet bağlantılar için de aktif edelim. RouterC(config)#line vty 0 4 RouterC(config-line)#login RouterC(config-line)#password cisco RouterC(config-line)#access-class kontrolEthernet in 10.4. IPX ERİŞİM KONTROL LİSTELERİ IPX Erişim Listeleri, IP protokolünün standart, genişletilmiş ve isimli erişim listeleri ile aynı özelliklere sahiptir ve benzer şekilde konfigüre edilmektedir. IPX koşan yönlendiriciler ve Novell sunucular, çalıştırdıkları servis bilgilerini birbirlerine aktarmak için SAP (Service Advertisement Protocol) protokolünü kullanmaktadırlar. SAP mesajları ile bu bilgileri güncellemektedirler. SAP güncelleme mesajlarının kısıtlanması gerektiği durumlarda erişim listeleri kullanılabilmektedir. Standart IPX Erişim Listeleri, access-list {800-899} {permit | deny} [HedefAğ [.HedefNod[HedefNodMaske]]]

KaynakAğ

[.KaynakNod

[KaynakNodMaske]]

global konfigürasyon komutuyla konfigüre edilmektedir. Genişletilmiş IPX Erişim Listeleri ise, access-list {900-999} {permit | deny} protokol-tipi[KaynakAğ] [[[.KaynakNod [KaynakNodMaske]] | [.KaynakNod KaynakAğMaske.KaynakNodMaske]] [KaynakSoket][HedefAğ] [[[.HedefNod[HedefNodMaske] | [.HedefNod HedefAğMaske. HedefNodMaske]][HedefSoket] log global konfigürasyon komutuyla konfigüre edilmektedir. IPX SAP Erişim Listeleri, access-list {1000-1099} {permit | deny} Ağ [.Nod] [AğMaske.NodMaske] [ServisTipi [SunucuAdı]] global konfigürasyon komutuyla konfigüre edilmektedir. İsimli IPX ve SAP Erişim Listeleri, ipx access-list {standard | extended | sap } ErişimListeAdı

190

global konfigürasyon komutuyla konfigüre edilmektedir. Fakat İsimli IP Erişim Listelerinde olduğu gibi kısıtlar daha sonra konfigüre edilmektedir. Standart, Genişletilmiş IPX Erişim Listeleri ve IPX SAP Erişim Listelerini konfigüre etmek için kullanılan komutların permit veya deny komutundan sonraki kısımları aynen kullanılmaktadır. Oluşturulan Standart ve Genişletilmiş IPX erişim listeleri ipx access-group {ErişimListeNo | ErişimListeAdı [in | out] } arayüz konfigürasyon komutuyla arayüzüyle ilişkilendirmek için

ilişkilendirilmektedir.

IPX

SAP

Erişim

Listelerini

çıkış

ipx output-sap-filter {ErişimListeNo | ErişimListeAdı} komutu; giriş arayüzüyle ilişkilendirmek için ipx input-sap-filter {ErişimListeNo | ErişimListeAdı} komutu kullanılmaktadır. IP Erişim Listelerini konfigüre ederken kullanılan any parametresi herhangi bir ağı ifade etmekteydi. IPX Erişim Listelerini konfigüre ederken aynı şekilde herhangi bir ağı ifade etmek için -1 parametresi kullanılmaktadır. Ayrıca IP Erişim Listelerinde kullanılan wildcard maskeler, aynı şekliyle IPX erişim listelerinde de kullanılmaktadır. Fakat IP Erişim Listelerindeki maskelerde kullanılmakta olan 1 değeri, IPX Erişim Listelerinin maskelerinde F olarak kullanılmaktadır. Kullanılan bu iki maske değeri de aynı şekilde ağ adreslerinde bu değerlerin bulunduğu bite karşılık gelen bit değerinin herhangi bir değer olabileceğini ifade etmektedir.

191

ÜNİTE 11 – GENİŞ ALAN AĞ (WAN) PROTOKOLLERİ 11.1. GENİŞ ALAN AĞ TERMİNOLOJİSİ Customer Premises Equipment (CPE): Müşterinin sahip olduğu ve ofisinde konuşlandırdığı cihaza verilen genel isimdir. Demarcation (demarc): Servis Sağlayıcının vereceği hizmeti müşterinin ofisine ulaştırdığı en yakın noktadır. Central Office (CO): Müşterilerin Servis Sağlayıcının anahtarlanmış ağına bağlanacağı merkez ofistir. Local loop: Demarc noktasının Servis Sağlayıcının anahtarlanmış ağı olan merkez ofise (CO) bağlanmasıdır. Telco: Telefon Şirketi Clocking: Ağ cihazının elektriksel sinyalin frekansını belirlemektir. Clock Source: Linkin diğer uçlarındaki cihazlarla senkron (synchronous) iletişimde iken hızlarını sağlamaları için clock üreten cihazdır. Synchronous: Seri linkin her iki tarafındaki cihazın birbirlerine data gönderimi sırasında hızlarını eşitlemeye çalıştıkları durumdur. Mutlaka cihazlar voltaj seviyeleri arasındaki farklılıkları görecek ve bu farklılıkları telafi etmeye çalışacaklardır. Bu tür iletişimde clock bir cihaz tarafından üretilmekte, diğeri bu clock zamanlamasına uymaktadır. Senkron iletişimde upload ve download hızları eşittir. Asynchronous: Dial-up modemlerin tipik iletişim modelidir. Seri linkin her iki tarafındaki cihaz hızlarını eşit olarak bilirler fakat voltaj seviyeleri arasında farklılıklar oluştuğunda bunu telafi etmeye çalışmayacaklardır. Ayrıca senkron iletişimden farklı olarak başlangıç (start) ve bitiş (stop) bitleri kullanılmaktadır. Böylece iletişim daha sağlıklı yapılmaktadır. Asenkron iletişimde upload ve download hızları farklı olabilmektedir. Data Services Unit (DSU) / Channel Services Unit (CSU): DTE ve DCE arayüzlü modemleri Telco’nun backbone ağına aktaran dijital mekanizmadır. Data Communications (ya da Circuit-Terminating) Equipment (DCE): Ağa fiziksel bağlantıyı sağlayan dijital mekanizmadır. Modemin telco tarafına bakan ve diğer uçtaki modeme clock üreten arayüzdür. Data Terminal Equipment (DTE): Ağa fiziksel bağlantıyı sağlayan dijital mekanizmadır. Modemin karşı uçtaki modemin ürettiği clock sinyaline göre iletişimi sağlayan arayüzdür. 11.2. GENİŞ ALAN AĞ BAĞLANTILARI Kiralık Hatlar (Leased Lines): Adından da anlaşılacağı üzere tek bir kullanıcı şirkete adanmış noktadan noktaya bağlantının sağlandığı senkron olarak iletişim kurulan bağlantı çeşididir. 45 Mbps’a kadar hızı desteklemektedir. Senkron iletişimi desteklediği için upload ve download hızları eşittir. Modemler arasında bağlantı kurulduktan sonra geniş alan ağ bağlantısının devamlı

192

çalışır durumda olduğu bir teknolojidir. Bu tür bağlantılarda HDLC, PPP veya SLIP protokolleri kullanılabilmektedir. Senkron Seri Bağlantı

Modem

Modem

Şekil 11.1 (Kiralık Hat) Devre Anahtarlama (Circuit Switching): Düşük bantgenişliğine ihtiyaç olduğu durumlarda kullanılan asenkron iletişimi destekleyen bağlantı çeşididir. Genelde dial-up modemler veya ISDN hatları kullanılmaktadır. Modemler arasında bağlantı kurulmadan data alışverişi yapılamaz. Noktadan noktaya bağlantı kurulduğu için bağlantı kurulduğunda tek bir hat bu bağlantıya adanmaktadır. Kiralık hatlara göre daha ucuz çözümler için kullanılmaktadır. Asenkron iletişimi desteklediği için upload ve download hızları eşit değildir. Bu tür bağlantılarda HDLC, PPP ve SLIP protokolleri kullanılabilmektedir.

Asenkron Seri Bağlantı veya ISDN

PC

Laptop

Telco

Modem

Modem

Şekil 11.2 (Devre Anahtarlama) Paket Anahtarlama (Packet Switching): Geniş Alan Ağda sabit bir miktarda data gönderildiği durumlarda kiralık hatlar kullanılmaktadır. Fakat bir çok ağda belli bir zaman aralığında data alışverişi yoğun olmakta diğer zamanlarda trafik yoğunluğu çok daha azdır. Dolayısıyla bantgenişliğinin paylaştırılması bu tip ağlar için bağlantı giderlerinin paylaşılması anlamına gelmektedir. Servis Sağlayıcıları müşterilerine belli limitlerde bantgenişliği sağlayarak hizmet vermektedir. Fakat müşterilerin yüksek bantgenişliği gerektiği zamanların çakıştığı durumlarda bu limitlerin altında hizmet alabildiği bir bağlantı çeşididir. Bu tür bağlantılarda Frame Relay, X.25 ve ATM protokolleri kullanılabilmektedir. Senkron Seri Bağlantı

Telco Modem

Modem

Şekil 11.3 (Paket Anahtarlama) 11.3. GENİŞ ALAN AĞ TEKNOLOJİLERİ LAPB Protokolü (Link Access Procedure, Balanced) X.25 protokol yığınının Data Link katmanında kullanılmakta olan bağlantı-odaklı (connection-oriented) bir protokoldür. Sağlam hata kontrolü yapılan bir ağ yapısına gereksinim duyulduğunda; katı zaman-aşımı ve

193

pencereleme (windowing) tekniği sayesinde güvenli iletişim sağladığından dolayı tercih edilmektedir. Fakat bu da paketlerin başlığının büyüklüğünü artırmaktadır. Bu protokol yerine daha küçük paket başlığı olan HDLC protokolü günümüzde tercih edilmektedir. HDLC Protokolü (High-Level Data Link Control) LAPB protokolüne göre daha küçük başlığı olan bağlantı-odaklı (connection-oriented) bir Data Link protokolüdür. SNA Protokol yığınında kullanılan SDLC protokolünden türetilmiştir. HDLC protokolü, tek bir linkte birden fazla 3.ncü katman protokolünü desteklemez. Çümkü HDLC protokol yapısında 3.ncü katman protokolü tanımlayan alan yoktur. Bu nedenle birçok ağ cihazları üreten şirket, kendine özgü HDLC protokolü geliştirmiştir. SLIP Protokolü (Serial Line Internet Protocol) PPP protokolü öncesinde sadece TCP/IP üzerinde çalışabilen, noktadan noktaya bağlantılarda kullanılan seri bağlantı protokolüdür. PPP Protokolü (Point-to-Point Protocol) HDLC protokol yapısında Ağ Katmanındaki protokole işaret eden alanın olmaması birçok şirketin kendine özgü HDLC protokolü geliştirmesine neden olmuş ve bu da üretici firmaların cihazlarının HDLC protokolü ile iletişimini zorlaştırmıştır. Bu problemi çözmek üzere geliştirilen PPP Protokolü, standart bir noktadan noktaya iletişimi sağlayan protokol olarak kabul edilmiştir. PPP Protokolünün yapısında, 3.ncü katmanda kullanılan protokolün tanımlanabilmesi için Ağ Kontrol Protokol alanı (Network Control Protocol) bulunmaktadır. Böylece farklı firmalar tarafından üretilen cihazlar iletişim kurabileceklerdir. PPP, aynı zamanda senkron ve asenkron linkler üzerinde kimlik doğrulama (authentication) ve multilink bağlantıları da desteklemektedir. X.25 Paket Anahtarlama teknolojisine dayalı, Data Link Katmanında LAPB, Ağ Katmanında PLP protokollerini kullanan kısmen eskimiş fakat güçlü bir hata kontrol mekanizması bulunan bir teknolojidir. Frame Relay Frame Relay, Paket Anahtarlama teknolojisine dayalı Data Link ve Fiziksel katman spesifikasyonudur. X.25 teknolojisine göre hata kontrol mekanizası daha zayıftır fakat bu daha az paket başlığı avantajı da sağlamaktadır. Noktadan noktaya bağlantılara göre daha ucuzdur. 64 Kbps’den 1.544 Mbps’e kadar hızları desteklemektedir. ISDN (Integrated Services Digital Network) Telefon hatları üzerinden ses ve data gönderilmesini sağlayan bir teknolojidir. Genelde Frame Relay ve T1 bağlantılar için yedek link olarak kullanılmaktadır. Yukarıda kısa bilgiler verilen WAN teknolojilerinden en yaygın olarak kullanılan bazı teknolojileri daha detaylı bir şekilde inceleyelim. 11.3.1. High-Level Data Link Control (HDLC) HDLC, ISO tarafından standartlaştırılan bit-oriented bir protokoldür. Kiralık hatlar üzerinde çalışabilen ve senkron iletişimi destekleyen bu protokol ile noktadan noktaya bağlantı kurulabilmektedir. Kimlik doğrulama mekanizması yoktur. Yapısı içerisinde bir üst katman (3.ncü katman) bilgisini içermediği için birden fazla L3 protokolünü desteklememektedir. Fakat ağ cihazları üreten firmalar kendilerine özgü HDLC protokolü geliştirmişler ve sadece kendi cihazlarının birbirleriyle birden fazla L3 protokolünü destekleyerek konuşturmuşlardır. Cisco yönlendiriciler öngörüldüğü şekliyle HDLC protokolünü desteklemektedir. HDLC, noktadan noktaya iletişimi desteklediğinden iki uçtaki yönlendiricinin arayüzleri de HDLC Data Link protokolünü desteklemelidirler. Farklı üretici firmalara ait cihazların iletişim kurabilmeleri için standart HDLC protokolünü kullanmalıdırlar. Aksi takdirde iletişim sağlanamayacaktır. Cisco yönlendiricilerin seri linklerin arayüzleri

194

encapsulation {hdlc|ppp|lapb} arayüz komutuyla görülmektedir. Bayrak

konfigüre

Adres

edilmektedir.

HDLC

Kontrol Bilgisi

protokolünün

Data

yapısı

FCS

Şekil

11.4’teki

Bayrak

Şekil 11.4 (HDLC Protokolü) 11.3.2. Point-to-Point Protocol (PPP) PPP, senkron ve asenkron link üzerinde çalışabilen birden fazla farklı Ağ katmanı protokollerini (IP, IPX, AppleTalk vb.) destekleyen protokol yığınıdır. PPP protokolü, 4 farklı parçadan oluşmaktadır. OSI Katman

Protokol

3

IP, IPX, AppleTalk vb. Network Control Protocol (NCP)

2

Link Control Protocol (LCP) High-Level Data Link Control Protocol (HDLC)

1

EIA/TIA-232, V.24, V.35, ISDN Şekil 11.5 (PPP Protokolü)

Fiziksel katmandaki standartlar, seri bağlantılarda kullanılacak olan arayüzleri ifade etmektedir. Data link katmanındaki parçalar, PPP protokolünü oluşturmaktadır. HDLC, seri linkten gönderilecek olan datanın kapsüllenmesini sağlamaktadır. NCP, farklı 3.ncü katman protokolünün PPP tarafından desteklenmesini sağlayan metoddur. NCP protokolleri arasında IPCP ve IPXCP örnek olarak verilebilir. LCP, noktadan noktaya bağlantının kurulması, konfigürasyonu, sürdürülmesi ve sona erdirilmesini sağlamaktadır. LCP protokolü noktadan noktaya bağlantıda 4 farklı fonksiyonu gerçekleştirmektedir. Bunlar; 9 9 9 9

Kimlik Doğrulama (Authentication) Sıkıştırma (Compression) Hata Tarama (Error Detection) Multilink

Kimlik Doğrulama (Authentication) Bir uçtaki cihazın diğer uçtaki cihaz ile PPP üzerinden iletişim kurmak istediğinde kimlik doğrulaması için bilgi göndermesi gerekmektedir. Her iki uçta da yapılan konfigürasyon sayesinde kimlik doğrulanırsa iletişim kurulmaktadır. PPP, kimlik doğrulaması için PAP (Password Authentication Protocol) ve CHAP (Challenge Authentication Protocol) protokollerini kullanmaktadır. Bu iki protokol arasında küçük farklılıklar vardır. PAP protokolü PPP linki kurmak isteyen yönlendirici basit bir text dosyası (clear text file) içinde kullanıcı adı ve şifre bilgilerini diğer uçtaki yönlendiriciye gönderir. Eğer dosya

195

içindeki kimlik bilgileri PPP link kurulmak istenen yönlendirici tarafından doğrulanırsa iletişim kurulur. Aksi takdirde iletişim isteği dikkate alınmaz.

PAP Kullanıcı=Erdem ; Şifre=cisco

A

ONAY

B

Şekil 11.6 (PAP Protokolü) CHAP protokolü PAP ile aynı şekilde PPP linki kurulurken kimlik doğrulaması yaptığı gibi; link kurulduktan sonra belli periyotlarla aynı cihaza bağlı olup olmadığını denetler. Bu daha güvenli bir iletişim sağlamaktadır. PAP protokolünde 2 mesaj ile kimlik doğrulanırken CHAP ise 3 mesajla kimlik doğrulamaktadır. PPP iletişim kurulmak istenen yönlendirici, kendisiyle PPP üzerinden iletişim kurmak isteyen yönlendiriciye bir mesaj (challenge) gönderir. Bu mesajla PPP iletişim kurmak isteyen yönlendiriciden kullanıcı adı ve şifresini göndermesi istenmektedir. Ayrıca bu mesaj rastgele bir sayı içermektedir. İletişim kurmak isteyen yönlendiricinin bu sayıyı MD5 algoritmasında kullanarak göndereceği kullanıcı adı ve şifre bilgilerini kriptolaması istenmektedir. Kriptolanmış kimlik bilgilerini alan yönlendirici, bilgileri aynı MD5 algoritması ile çözümler ve bilgiler doğrulandığı takdirde iletişim kurulmasına onay verir.

CHAP Challenge Mesajı Kullanıcı=&%)*’^+ ; Şifre=!’^+&/

B

A

ONAY

Şekil 11.7 (CHAP Protokolü) Kimlik doğrulaması için, ppp authentication {pap|chap} arayüz komutu kullanılmaktadır. Bu komutta sadece sadece pap, sadece chap kullanılabildiği gibi ppp authentication pap chap veya ppp authentication chap pap şeklinde de kullanılabilmektedir. Buna göre kimlik doğrulama işlemi sırasıyla yapılmaktadır. Eğer ilk metod başarıya ulaşmazsa diğerine geçilmektedir. Şekil 11.7 deki örneğin konfigürasyonunu inceleyelim. RouterA(config)#username RouterB password cisco RouterA(config)#interface S0 RouterA(config-if)#encapsulation ppp RouterA(config-if)#ppp authentication chap pap RouterB(config)#username RouterA password cisco RouterB(config)#interface S0

196

RouterB(config-if)#encapsulation ppp RouterB(config-if)#ppp authentication chap pap Yukarıdaki konfigürasyonda görüldüğü gibi herbir yönlendiricide konfigüre edilen username komutunun parametresi diğer uçtaki yönlendiricinin adıdır. Şifreler ise her iki yönlendiricide de aynıdır. Her iki yönlendiricide de kimlik doğrulaması için önce CHAP protokolü; başarılı olunmazsa PAP protokolü kullanılmaktadır. Sıkıştırma (Compression) PPP bağlantıdaki kullanılabilirlilik yüzdesini artırabilmek için kullanılmaktadır. Gönderilecek data sıkıştırma algoritmaları kullanılarak sıkıştırılır. Böylece gönderilecek data küçülmüş ve hattın yoğunluğu azalmış olur. Ayrıca data miktarı azalmış olduğu için gönderilen yönlendiricideki kuyruk da (queue) azalmış olur. Fakat bu da beraberinde bazı dezavantajlar getirir. Yönlendirici, datayı sıkıştırabilmek için algoritma kullanarak data miktarını küçültür. Fakat bu yönlendiriciye fazladan işlemci yükü getirmektedir. Ayrıca yönlendirici, göndereceği datayı işleyeceği için datanın gecikmesi (latency) de artacaktır. Özellikle pahalı maliyeti olan kiralık hatların kullanıldığı durumlarda sıkıştırma tercih edilebilir. Fakat yönlendiricinin işlemci yükü normal zamanda yüzde 45 ile 60 arasında olan durumlarda tercih edilmemelidir. Sıkıştırma, PPP bağlantıların yanında LABP ve HDLC protokollerinde de kullanılmaktadır. STAC, Predictor ve Microsoft Point-to-Point Compression (MPPC) olmak üzere 3 farklı sıkıştırma algoritması bulunmaktadır. Tablo 11.1’de Cisco IOS’un desteklediği algoritmalar desteklenen protokollere göre görülmektedir. DATA LINK KATMANI

IOS DESTEKLI SIKIŞTIRMA ALGORİTMASI

PPP

STAC, Predictor, MPPC

HDLC

STAC, Predictor

LABP

STAC

Tablo 11.1 (Sıkıştırma Algoritmaları) Sıkıştırma fonksiyonu compress [predictor|stac|mppc [ignore-pfc]] arayüz komutuyla sağlanmaktadır. Hata Tarama (Error Detection) PPP protokolü, link düştüğü zaman en kısa sürede linkin tekrar çalışır durumda olduğunu farkedebilmesi için sihirli sayı (magic number) kullanmaktadır. Böylece yakınsama (convergence) zamanı kısalmaktadır. Yönlendirici, kendine özgü bir sayı (magic number) üretip devamlı olarak diğer uçtaki yönlendiriciye göndermeye çalışır. Fakat link çalışmadığı için sihirli sayının içinde olduğu mesaj ulaşmayacaktır. Link tekrar çalıştığı zaman mesaj yönlendiriciye ulaşacak ve mesaj geriye gönderilecektir. Bu sihirli sayı tek olduğu için yönlendirici, sihirli sayının içinde olduğu mesajı aldığında linkte sanal bir döngünün (loop) oluştuğunu anlayarak linkin tekrar çalıştığını kabul edecektir. PPP protokolü, diğer uçtaki yönlendiriciye kendisinden sağlam olarak aldığı paket ve byte sayısını gönderir. Bu yönlendirici de göndermiş olduğu paket ve byte sayısını karşılaştırarak başarı yüzdesini hesaplar. PPP’nin bu özelliğine Link Quality Monitoring (LQM) denmektedir. Multilink Cisco yönlendiriciler, IOS 11.1 versiyonundan sonra multilink PPP desteklemektedir. PPP’nin bu özelliği ile birden fazla paralel linki birleştirerek tek bir link gibi kabullenip trafikte eşit yük dağılımı yapılabilmektedir. Data gönderecek olan yönlendirici datayı parçalar ve linklere

197

eşit olarak dağıtır. Datayı alan yönlendirici ise aldığı dataları birleştirir. Bu işlem yönlendiricilere ek bir yük getirmektedir. Multilink PPP yerine iki yönlendirici arasında birden fazla linkin olduğu durumlarda her bir link için PPP protokolü uygulansaydı; gönderilecek paketlerin bir kısmı bir linkten, başka bir kısmı başka linkten olmak üzere linkteki trafik yoğunluğuna göre gönderilecekti. Aynı IP adresine giden trafik aynı linki kullanacağından dolayı gerçek bir yük dağılım dengesi olmayacaktır. Multilink PPP, ppp multilink arayüz komutuyla konfigüre edilmektedir. 11.3.3. Frame Relay Paket anahtarlama teknolojisi ile çalışan, noktadan çok noktaya bağlantılar yapılabilen, X.25 teknolojisinden daha yaygın olan ve 64 Kbps’den 1.544 Mbps hızlara kadar iletişim kurma imkanı veren bir teknolojidir. Frame Relay, X.25 gibi sanal devreler (virtual circuit) kurarak Data Link seviyesinde iletişim kuran bağlantı-odaklı (connection-oriented) bir protokoldür. Sanal devreler, son kullanıcının sahip olduğu DTE cihazlarını paket-anahtarlı ağ üzerinden DLCI (Data Link Connection Identifier) sanal adreslerini kullanarak iletişim kurmalarını sağlamaktadır. Frame Relay teknolojisinde kullanılan terminolojiyi inceleyelim. Bunlar; Sanal Devre (VC-Virtual Circuit) Data paketlerinin DTE cihazları arasında takip edeceği yolu ifade eden sanal bir yoldur. Kiralık hatlarda noktadan noktaya fiziksel bir devre kullanılmasına rağmen Frame Relay ağda her nokta Servis Sağlayıcının en yakın noktasındaki anahtarına bağlanarak Servis Sağlayıcının omurga ağına katılmaktadır. Bu iki nokta Sanal Devre ile birbirlerine tanımlanarak paketlerin gidip geleceği yol belirlenmektedir. Böylece birden fazla nokta birbirlerine bağlanabilmektedir. Daimi Sanal Devre (PVC-Permanent Virtual Circuit) Daha önceden tanımlanan bir sanal devredir. Kiralık hatlara benzetilebilir. Anahtarlanmış Sanal Devre (SVC-Switched Virtual Circuit) Dinamik olarak oluşturulan bir sanal devredir. Dial up bağlantılara benzetilebilir. DLCI Adresi (DLCI-Data Link Connection Identifier) Sanal Devreleri tanımlamak için kullanılan Frame Relay adresidir. CIR (Committed Information Rate) Servis Sağlayıcının destekleyeceğini söz verdiği data hızıdır. Burst Rate Eğer Servis Sağlayıcının omurga ağının trafik yükü uygunsa desteklenenden daha fazla hızda datanın gönderilmesidir. FECN (Forward Explicit Congestion Notification) Data paketinin frame relay başlığında bulunan, paketin hareket ettiği yönde trafik sıkışıklığı olduğunu ifade eden bittir. Bu uyarıyı alan cihaz, bu yöndeki data trafiğini yavaşlatır. BECN (Backward Explicit Congestion Notification) Data paketinin frame relay başlığında bulunan, paketin hareket ettiği yönün tam ters yönünde trafik sıkışıklığı olduğunu ifade eden bittir. Bu uyarıyı alan cihaz, bu yöndeki data trafiğini yavaşlatır.

198

DE (Discard Eligibility) Servis Sağlayıcının Frame Relay anahtarına gönderilen trafiğin, CIR değerinin üzerine çıktığı durumlarda paketlerin yokedilmesini ifade eden paket içindeki bit değeridir. LMI (Local Management Interface) DCE ve DTE cihazları arasındaki bağlantının yönetimini sağlayan bir protokoldür. 11.3.3.1. Frame Relay Ağ Yapısı ve Çalışma Sistemi Daha önce de bahsedildiği gibi Frame Relay teknolojisi paket anahtarlama teknolojisine dayalı olarak çalışmaktadır. Servis Sağlayıcılarının hizmet verdiği müşterilerin DTE cihazları (yönlendirici), Servis Sağlayıcılarının Frame Relay omurgasında bulunan en yakın Frame Relay anahtarına bağlanmaktadır. Daha önceden Servis Sağlayıcı tarafından tanımlanan sanal devre (PVC) ile müşterinin uçtan uca bağlantısı kurulmaktadır. Müşterinin bir uçtaki DTE cihazı ile bağlı olduğu anahtar arasındaki bağlantı LMI mesajları yönetilmektedir.

A

Modem

DCE LMI Mesajı

B

DCE

LMI Mesajı

DCE

Frame Relay

LMI Mesajı

C

Modem

Modem Frame Relay L3 Paket Başlığı

Şekil 11.8 (Frame Relay Ağ Yapısı) LMI (Local Management Interface) LMI, DTE cihazı (yönlendirici) ile DCE cihazı (Frame Relay anahtarı) arasındaki bağlantının keepalive, multicast ve statü mekanizmalarını yöneten bir protokoldür. DTE ve DCE cihazları arasındaki LMI trafiğinin neticesinde sanal devrenin statüsü 3 farklı durumdan biri olmaktadır. Bunlar; 9 9 9

Aktif Durum (Active) Bağlantı aktif ve yönlendirici data gönderebilir demektir. Pasif Durum (Inactive) Yönlendiricinin lokal anahtar bağlantısı aktif fakat diğer uçtaki yönlendiricinin Frame Relay anahtara olan bağlantısı aktif değil demektir. Silinmiş Durum (Deleted) Lokal anahtardan LMI mesajı alınmıyor demektir.

3 farklı LMI protokolü vardır. Cisco yönlendiricileri hepsini desteklemektedir. Bunlar;

199

9 9 9

Cisco 4 önemli teknoloji firması tarafından geliştirilmiştir. (Cisco, Northern Telecom, StrataCom, DEC) Ansi Annex D olarak da anılmaktadır. ANSI (American National Standard Institute) tarafından geliştirilmiştir. Q933a Annex A olarak da anılmaktadır. ITU-T tarafından geliştirilmiştir.

DTE ve bağlı olduğu DCE cihazları mutlaka aynı LMI protokolü ile konfigüre edilmelidir. Aksi takdirde iletişim kurulamayacaktır. Cisco IOS 11.2 versiyonu sonrası otomatik olarak LMI protokolü (autosense özelliği) konfigüre edebilmektedir. DTE ve DCE cihazları arasındaki bağlantı kurulup aktif duruma geçtikten sonra keepalive mesajları ile bağlantı korunacaktır. Bu bağlantı üzerinden data gönderilebilecektir. Frame Relay teknolojisinde data alışverişi yapılırken farklı bir adresleme kullanılmaktadır. DLCI Adresleme Sanal Devreleri tanımlamak için kullanılmaktadır. Ethernet teknolojisinde MAC fiziksel adresleri nasıl ki Data Link katmanı adreslemesi yapıyorsa; Frame Relay ağlar için aynı görevi DLCI adresleri yerine getirmektedir. DLCI adresleri Servis Sağlayıcılar tarafından verilmektedir. DLCI adresleri, yönlendiricide sonlandırılan her bir sanal devre için farklı olmalıdır. Fakat DLCI adresleri bütün bir ağda tekrar edebilir. Şekil 11.9’daki örnekte görüldüğü gibi her yönlendirici Servis Sağlayıcıya tek bir fiziksel linkten bağlıdır. A yönlendiricisinde tek bir fiziksel link üzerinden 2 adet VC tanımlanmış ve farklı iki DLCI adresi atanmıştır. B ve C yönlendiricileri de Servis Sağlayıcısına tek bir link üzerinden bağlanmış ve tek sanal devre tanımlandığı için tek DLCI adresi verilmiştir. B ve C’de tanımlanan adreslerin aynı olması sorun oluşturmamaktadır. Çünkü B ve C’de tanımlanan DLCI 16, A yönlendiricisinin global adresidir. A yönlendiricisinde tanımlanan DLCI 17, B’nin; DLCI 18, C’nin global adresidir. Dolayısıyla her bir yönlendiricide tanımlanan sanal devrelerin farklı DLCI adreslerinin olması yeterlidir. DLCI adresleme sisteminde data alışverişi yapılırken paketlerde kaynak ve hedef DLCI adresleri bulunmamaktadır. Paketi gönderen yönlendiricinin hangi sanal devre üzerinden paketi gönderecekse o sanal devrenin DLCI adresi yazılmaktadır.

A DLCI 17

DCE

DLCI 16

B

DLCI 18

DCE

DCE

Frame Relay

DLCI 16

C

Şekil 11.9 (DLCI Adresleme) Buna göre A yönlendiricisi C’ye paket göndereceği zaman paketin hedef IP adresini inceler. Konfigürasyonunda bulunan IP – DLCI adresleri eşleştirme (DLCI mapping) tablosuna bakarak Frame Relay başlığına DLCI 18 adresini yazmaktadır. Servis Sağlayıcı, paketi C’nin bağlı olduğu anahtara kadar taşır ve paket C’ye DLCI adresi 16 yapılarak aktarılır. Böylece C yönlendiricisi paketin A’dan geldiğini anlar. A ile B arasındaki trafikte aynı şekilde çalışmaktadır. C yönlendiricisi A’ya bir paket aktaracağı zaman Frame Relay Başlığına DLCI 16 adresini

200

yazarak anahtara gönderir. Servis Sağlayıcı, paketi A’nın bağlı olduğu anahtara kadar taşır ve paket A’ya DLCI adresi 18 yapılarak aktarılır. Böylece A yönlendiricisi paketin C’den geldiğini anlar. Buna göre A yönlendiricisi DLCI 16, B yönlendiricisi DLCI 17, C yönlendiricisi DLCI 18 global adreslerine sahiptir. Şekil 11.9’da DLCI adreslerinin yerleşiminden dolayı farklı algılar oluşabilir. A yönlendiricisinin 2 adet DLCI adresinin (DLCI 17 ve 18) olduğu düşünülebildiği gibi diğer yönlendiriciler tarafından bakıldığında tek DLCI adresi (DLCI 16) olduğu da düşünülebilir. Daha sonra anlatacağımız konfigürasyondan da anlaşılacağı üzere A yönlendiricisinde iki adet DLCI adresi frame-relay interface-dlci arayüz komutuyla tanımlanacaktır. Farklı DLCI adresleme tekniği de kullanılabilmektedir.

A

A

DLCI 19

DLCI 16

DLCI 18

DLCI 17

DLCI 18

DLCI 17

Frame Relay

Frame Relay DLCI 18

DLCI 17

DLCI 20

DLCI 20

C

B

B

C

DLCI 20

D

E

Şekil 11.10 (DLCI Adresleme) Şekil 11.10’da görüldüğü gibi iki ucun DLCI adresleri aynı olabilmektedir. Bu durumda DLCI adresleri sanal devreleri tanımlamaktadır. Diğer şekilde her bir sanal devreye farklı DLCI adresleri verilmiştir. A yönlendiricisi farklı sanal devrelerden trafiği yönlendirmek için DLCI – IP tablosunu kullanmaktadır. Buna göre DLCI 20 A’nın, DLCI 16 B’nin, DLCI 17 C’nin, DLCI 18 D’nin, DLCI 19 E’nin global adresidir. Frame Relay DLCI–IP Adres Eşleştirme (DLCI Mapping) Ethernet ağlarda nasıl ki bilgisayarlar iletişim kurmak için IP ARP veya IPX ARP protokolünü kullanarak, iletişim kurmak istedikleri cihazların L2 adreslerini (MAC adres) öğrenmeye ihtiyaç duyuyorlar; aynı şekilde Frame Relay ağlarda da DTE cihazları iletişim kurmak istedikleri diğer DTE cihazlarının L2 adreslerini öğrenmek zorundadırlar.

.1

S0

B

E0

192.168.2.0/24

E0 .3

B

C Ethernet

.2

192.168.1.0/24 .2 A .1 E0 Ethernet

192.168.1.0/24 S0

Ethernet

A

192.168.3.0/24

Ethernet

Ethernet

192.168.2.0/24

Ethernet

192.168.3.0/24

192.168.4.0/24

Şekil 11.11 (IP-MAC Adres Mapping) Şekil 11.11’deki ilk örnek ağda, yönlendiriciler arasında noktadan noktaya bir bağlantı bulunmaktadır. A ve B yönlendiricilerinin bağlı oldukları Ethernet ağlar birbirleriyle data

201

alışverişi yapmak istediklerinde yönlendiriciler seri ağlardan datayı birbirlerine aktarırlar. Ethernet ağlarda olduğu gibi Data Link Katmanı mantıksal adresi ile Ağ Katmanı adresinden oluşan bir tabloya ihtiyaç duymazlar. Çünkü her iki yönlendiricinin bağlı olduğu seri linkin tek bir ucu vardır. Dolayısıyla HDLC, PPP gibi noktadan noktaya iletişim kuran protokoller fiziksel adrese ihtiyaç duymazlar. Sadece Çoklu Erişim Ağlarında (multi-access) fiziksel adrese ve bahsedilen tabloya (mapping) ihtiyaç duyulmaktadır. Ethernet ağlarda bilgisayarlar, ARP protokolünü kullanarak Ağ Katmanı mantıksal adresi (IP, IPX, vb.) ile Data Link Katmanı fiziksel adreslerinin tablosunu oluşturur. Gönderilecek paketin hedef adresi bu tablo içerisinde varsa bu fiziksel adres kullanılır. Şekil 11.11’deki diğer örnek ağda A, B ve C yönlendiricileri Ethernet ağ ile birbirine bağlıdır. 192.168.2.0/24 subnetinden bir bilgisayar, 192.168.3.0/24 subnetinden bir bilgisayar ile iletişim kurmak istediğinde A yönlendiricisi yönlendirme tablosuna bakarak paketi E0 arayüzünden gönderir. Fakat Ethernet frame yapısının hedef MAC adres alanına B’nin E0 arayüzünün adresini yazar. Bu adresi de IP ARP protokolü ile öğrenir. Frame Relay ağlarda da benzer bir sistem çalışmaktadır. Frame Relay ağlar broadcast iletişimi desteklemediği için Ethernet ağlarda kullanılan ARP protokolü kullanılamaz. Frame Relay teknolojisinde Data Link katmanında DLCI adresi kullanıldığı için Ağ Katmanı adresi (IP, IPX vb.) ile DLCI adreslerinin tablosu oluşturulmalıdır. Bu tablo manuel ve dinamik olarak 2 farklı şekilde oluşturulabilir. Manuel olarak oluşturmak için frame-relay map protokol protokol-adresi dlci [payload-compress{packet-by-packet |frf9 stac}] [broadcast] [ietf |cisco] arayüz komutu kullanılmaktadır. 192.168.4.0/24 subnetinden bir bilgisayar, 192.168.3.0/24 subnetinden bir bilgisayar ile iletişim kurmak istediğini varsayalım. A yönlendiricisi Frame Relay omurgasına tek bir linkten bağlı olduğu için B ve C yönlendiricilerine göndereceği bütün paketler aynı seri arayüzünden gönderilecektir. A yönlendiricisi paketin Frame Relay başlığına ilgili DLCI adresini yazması gerekmektedir. Bunun yazılabilmesi için subnetler, DLCI adresleri ile ilişkilendirilmelidir. RouterA(config)#int S0 RouterA(config-if)#frame-relay map ip 192.168.1.3 18 broadcast RouterA(config-if)#frame-relay map ip 192.168.1.2 17 broadcast 192.168.4.0/24 Ethernet

A

.1

DLCI 18

DLCI 17

192.168.1.0/24

DLCI 16

DLCI 16

B

.2

C

.3

Ethernet

Ethernet

192.168.2.0/24

192.168.3.0/24

Şekil 11.12 (IP-DLCI Adres Mapping) Dinamik olarak IP-DLCI adres tablosu oluşturmak için Inverse-ARP protokolü kullanılmaktadır. Bu tablo adım adım şöyle oluşturulmaktadır.

202

9 9 9 9

9 9

Modem, Frame Relay anahtarı ile bağlantı kurar. Yönlendirici, LMI mesajı ile anahtara sanal devrenin statüsünü aktif etmesini bildirir. Anahtar, LMI mesajını cevaplar ve sanal devrenin aktif olduğunu, mevcut aktif diğer sanal devrelerin DLCI adreslerini bildirir. Yönlendirici, LMI mesajıyla aktif olduğunu öğrendiği bütün sanal devrelerin bağlı olduğu yönlendiricilere kendi IP ve DLCI adres bilgilerini Inverse-ARP mesajıyla aktarır. Bu Inverse-ARP mesajını alan diğer uçtaki bütün yönlendiriciler, IP adres ve DLCI adreslerini eşleştirerek tablo oluştururlar. Frame Relay ağdaki bütün yönlendiriciler her 60 saniyede bir bu Inverse-ARP mesajını yinelerler.

Buraya kadar anlatılanlarla Frame Relay ağdaki uçtan uca iletişimi şu şekilde özetleyebiliriz. Frame Relay ağdaki bütün aktif cihazlar bağlanıp konfigüre edildikten sonra CSU/DSU cihazı Frame Relay anahtarı ile fiziksel bağlantı kurar. CSU/DSU cihazına bağlı yönlendirici ile anahtar aynı LMI protokolü ile konfigüre edildiği için aralarındaki bağlantıyı yönetirler ve sanal devreyi aktif duruma getirirler. Frame Relay anahtar, mevcut aktif sanal devreleri LMI mesajı ile yönlendiriciye aktarır. Eğer yönlendiricide manuel olarak IP-DLCI adres tablosu konfigüre edilmişse; yönlendiriciye gelen paketlerin hedef adresinin bulunduğu ağ yönlendirme tablosundan tespit edilir. Alınan sonuca göre ilgili arayüzden gönderilir. İlgili arayüz Frame Relay ağa bağlı ise data kapsüllenmesi yapılır. Frame Relay başlığına yazılması gereken DLCI adresi manuel olarak oluşturulan tablodan öğrenilir ve ilgili DLCI adresi yazılır. Data kapsüllendikten sonra gönderilir. Eğer yönlendiricide IP DLCI adres tablosu dinamik olarak oluşturacak şekilde konfigüre edilmişse; yönlendirici mevcut aktif sanal devreleri LMI mesajıyla anahtardan aldıktan sonra bu sanal devrelere bağlı yönlendiricilere Inverse-ARP mesajı gönderir. Bu mesajla IP ve DLCI adres bilgilerini iletir. Böylece ağdaki bütün yönlendiriciler IP-DLCI adres tablosunu oluşturmuş olur. Data kapsüllenirken dinamik olarak oluşturulan bu tablo kullanılarak Frame Relay başlığına ilgili DLCI adresi yazılır. LMI protokolü konfigüre edilirken Frame Relay anahtar ile yönlendiricinin aynı LMI protokolü kullanması gerektiğine dikkat çekilmişti. Uçtan uca iletişim sırasında da yönlendiricilerin aldıkları datayı anlayabilmeleri için de aynı kapsülleme (encapsulation) tipini kullanmaları gerekmektedir. Cisco yönlendiricileri 2 farklı Frame Relay kapsüllemesini desteklemektedir. Kapsülleme tipi encapsulation frame-relay { cisco | ietf } arayüz komutuyla konfigüre edilmektedir. Cisco yönlendiricilerin dışındaki yönlendiriciler cisco kapsüllemeyi desteklemeyeceği için farklı yönlendiricilerle bağlantı kuran Cisco yönlendiriciler, kapsülleme tipi ietf olarak konfigüre edilmesine dikkat edilmelidir. 11.3.3.2. Frame Relay Ağ Topolojileri 3 farklı ağ topolojisi kullanılarak bölgeler birbirine bağlanabilmektedir. Bunlar; Yıldız Topoloji (Star Topology) Hub and Spoke topoloji olarak da anılan bu tür ağ dizaynı, en yaygın ve en ucuz çözüm olarak kullanılan topolojidir. Tek bir merkez ve bütün diğer uçların bu merkeze bağlanması şeklinde özetlenebilecek bu tür yapılarda, az sayıda Sanal Devre

203

kullanıldığı için en ucuz çözüm olarak da bilinmektedir. Fakat merkezde oluşabilecek bir arıza bütün ağın birbiriyle olan iletişimini kesecektir. Merkezde bulunan yönlendirici tek bir arayüz ile diğer uçtaki yönlendiricilere bağlanabildiği gibi, her bir ucu farklı arayüz ile de karşılayabilir. Fakat bu merkez yönlendirici üzerinde bulunan arayüz maliyetlerini artıracaktır. Arayüz sayısı arttıkça kullanılan yönlendirici donanımsal olarak daha kapasiteli model ile değiştirilecektir. Ayrıca uç sayısı çok fazla ise herbir ucu karşılamak yönlendiricinin fiziksel kapasitesi açısından mümkün olamayacağından yine bir çok uç tek bir arayüz tarafından karşılanacaktır.

A

Frame Relay

B

C

D

E

Şekil 11.13 (Hub-and-Spoke Topoloji) Karmaşık Topoloji (Full-Mesh Topology) Ağdaki bütün uçların birbirlerine sanal devrelerle bağlandığı, maliyetleri açısından en pahalı çözümdür. Herhangi bir uçta problem oluştuğu zaman diğer bütün uçlar iletişimi sürdürebilmektedir. Bu da yedek linklerin çok önemli olduğu ağlarda önemli bir avantajdır.

A

Frame Relay

B

C

Şekil 11.14 (Full-Mesh Topoloji) Yarı-Karmaşık Topoloji (Partial-Mesh Topology) Ağın bir bölümünde bütün uçların birbirine sanal devrelerle bağlandığı, diğer bölümünde ise uçların ağa en az tek bir link ile bağlandığı ağ tipidir. Ağdaki bütün yönlendiriciler arasında tam yedekli bir bağlantı yoktur. İki farklı yapıdaki ağ bölümlerinin merkezindeki yönlendiricide oluşacak bir problem bütün bir ağı etkileyecektir. Genelde iletişimin hayati önem taşımadığı küçük ofislerin bağlantısının gerektiği durumlarda kullanılan bir topolojidir. Maliyetleri açısından bu ofislerin tek VC ile ağa dahil olabilmesi bu topolojiyi tercih edilebilir hale getirmektedir.

204

A

Frame Relay

B

C

D

E

F

Şekil 11.15 (Partial-Mesh Topoloji) Frame Relay teknolojisi broadcast iletişimi desteklemediğinden NBMA (Non-broadcast Multiaccess) ağ yapısındadır. NBMA ağ yapısı broadcast iletişimi desteklemeyen fakat her ucun birbirine erişimini sağlayan bir yapısı vardır. Daha önce yönlendirme protokollerinde bahsedilen split horizon özelliği bu yapıdaki ağlarda sorun oluşturmaktadır. Yukarıda anlatılan 3 farklı topolojide de tek bir arayüz ile birden fazla PVC bağlantıyı karşılayan durumları düşünelim. Bir yönlendiricinin S0 arayüzünün diğer uçların birinden yönlendirme güncelleme mesajını broadcast ile aldığını varsayalım. Split horizon özelliğine göre bir arayüzden alınan mesaj aynı arayüzden geriye gönderilmediği için bu mesaj aynı arayüzden fakat farklı bir PVC ile bağlantı kurduğu uca bu mesajı geri göndermeyecektir. Böylece merkezdeki yönlendiriciye aynı fiziksel arayüzden bağlı iki uç birbirine yönlendirme yapamayacaktır. Split horizon özelliği merkezdeki arayüzden kaldırıldığında ağda döngülerin oluşmasına neden olacaktır. Bu problem bir sonraki bölümde detaylı olarak anlatılacak olan birden fazla PVC bağlantıyı karşılayan arayüzde sanal alt arayüzler oluşturularak çözümlenecektir. 11.3.3.3. Frame Relay Konfigürasyonu Frame Relay teknolojisinin özellikleri anlatılırken bazı komutların örnek konfigürasyonları yapıldı. Tablo 11.2’de diğer bazı komutları göreceksiniz. Her farklı ağ yapısında farklı alternatif çözümlerin kullanılabileceğini akıldan çıkarmamak gerekir. Aşağıdaki örnekler bazı detayları vurgulamak üzere incelenmektedir. KOMUTLAR

FONKSİYON

encapsulation frame-relay { cisco|ietf }

Frame Relay arayüzünde kullanılacak olan kapsülleme tipini belirten arayüz komutudur.

frame-relay lmi-type { ansi|q933a|cisco}

Yönlendirici ile Frame Relay anahtar arasındaki LMI protokolünün tipini belirten arayüz komutudur.

frame-relay map protokol protokol-adresi dlci [payload-compress{packet-by-packet |frf9 stac}] [broadcast] [ietf |cisco]

Statik olarak Ağ Katmanı adresi ile DLCI adresini ilişkilendiren arayüz komutudur.

keepalive saniye

LMI mesajlarının linki aktif tutmak için kaç saniye aralıklarla mesaj göndereceklerini belirten arayüz komutudur.

interface serial arayüzno.altarayüzno { point-topoint|multipoint }

Alt arayüzleri oluşturmak ve bu altarayüzlerin türünü belirlemek için kullanılan global konfigürasyon komutudur.

frame-relay interface-dlci DLCIno {cisco|ietf}

Sanal devrelerin DLCI adreslerini belirtmek için kullanılan arayüz komutudur.

205

frame-relay payload-compress {packet-bypacket |frf9 stac}

Alt arayüzlerde kullanılan sıkıştırma türünü belirtmek için kullanılan arayüz komutudur.

show frame-relay {pvc|map|lmi}

Yönlendiricide oluşturulan sanal devre, LMI türü ve DLCI, Ağ katmanı adres tablosunu görüntülemek için kullanılmaktadır.

debug frame-relay { lmi|events|lapf|packet }

Frame relay iletişimle ilgili farklı parametreleri öğrenmek için kullanılmaktadır.

Tablo 11.2 (Frame Relay Komutları) Bir yönlendiricide Frame Relay kapsüllemesi yapmak üzere konfigüre edilen seri arayüz öngörüldüğü şekliyle çoklu nokta (multipoint) ile iletişim yapabilir durumdadır ve bu arayüzde Inverse ARP protokolü çalışmaktadır. Ayrıca split horizon özelliği de kapalıdır. Yani bu arayüzden alınan yönlendirme güncelleme mesajları geriye gönderilebilmektedir. Frame Relay konfigürasyonunu en basit ağ yapısından karmaşık yapıya doğru sırayla inceleyelim. ÖRNEK 1.

A

192.168.3.0/24

S0

S0

192.168.1.0/24

.2

.1

DLCI 16

B

Ethernet

E thernet

192.168.2.0/24

DLCI 17

Şekil 11.16 (Basit Frame Relay Konfigürasyonu) İki ucun birbirine Frame Relay üzerinden tek VC ile bağlandığını düşünelim. A ve B yönlendiricilerinin S0 arayüzleri encapsulation frame-relay komutu ile konfigüre edildiği zaman Inverse-ARP protokolü aktif olmaktadır. IP ve DLCI adresleri konfigüre edildiği zaman yönlendiriciler Inverse-ARP protokolü ile dinamik olarak IP-DLCI eşleştirmesi yapmaktadır. Statik eşleştirme (mapping) konfigürasyonu yapmaya gerek yoktur. RouterA(config)#int S0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#frame-relay interface-dlci 17 RouterA(config-if)#ip address 192.168.1.1 255.255.255.0 RouterA(config-if)#int E0 RouterA(config-if)#ip address 192.168.2.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.3.1 255.255.255.0 RouterA#show frame-relay map Serial0 (up): ip 192.168.1.2 dlci 17(0x11,0x42F), dynamic, broadcast,, status defined, active RouterA#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) Active Inactive Deleted

206

Static

Local 1 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 17, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 93 output pkts 73 in bytes 9456 out bytes 8156 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 48 out bcast bytes 9852 pvc create time 01:24:50, last time pvc status changed 01:18:12 RouterB#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10,0x3E0), dynamic, broadcast,, status defined, active RouterB#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) Active Inactive Deleted Static Local 1 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 16, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 53 output pkts 48 in bytes 5421 out bytes 6734 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 24 out bcast bytes 5231 pvc create time 01:21:32, last time pvc status changed 01:08:17 Yukarıda show frame-relay map komutuyla görüntülenen DLCI adreslerinden de anlaşılacağı üzere A yönlendiricisinin S0 IP adresi ile DLCI 16; B yönlendiricisinin S0 IP adresi ile DLCI 17, Inverse-ARP protokolü tarafından ilişkilendirilmiştir. Yani A yönlendiricisinin global DLCI adresi 16, B’nin global DLCI adresi 17’dir. frame-relay interface-dlci komutuyla girilen değerler okuyucuyu şaşırtmamalıdır. ÖRNEK 2. Bu örnekte merkez A yönlendiricisi tek bir fiziksel arayüz ile uzak uçları karşılamaktadır. A’nın global DLCI adresi 16, B’nin global DLCI adresi 17 ve C’nin global DLCI adresi 18’dir. Merkezdeki A yönlendiricisi, Inverse-ARP protokolü ile IP-DLCI adres eşleştirmesi yapar. Böylece 192.168.4.0/24 subnetinden ve A yönlendiricisinden, B ve C yönlendiricilerine ve bu yönlendiricilere bağlı 192.168.2.0/24, 192.168.3.0/24 subnetlerine ping atılabilmektedir. Fakat B ve C yönlendiricileri ile bu yönlendiricilere bağlı 192.168.2.0/24, 192.168.3.0/24 subnetleri birbirlerine ping atamayacaklardır.

207

192.168.4.0/24 Ethernet

A

.1

DLCI 16

192.168.1.0/24

DLCI 18

DLCI 17

B

.2

C

.3

Ethernet

Ethernet

192.168.2.0/24

192.168.3.0/24

Şekil 11.17 (Yıldız Topoloji Frame Relay Konfigürasyonu) RouterA(config)#int S0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#frame-relay interface-dlci 17 RouterA(config-if)#frame-relay interface-dlci 18 RouterA(config-if)#ip address 192.168.1.1 255.255.255.0 RouterA(config-if)#int E0 RouterA(config-if)#ip address 192.168.4.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config)#int S0 RouterC(config-if)#encapsulation frame-relay RouterC(config-if)#frame-relay interface-dlci 16 RouterC(config-if)#ip address 192.168.1.3 255.255.255.0 RouterC(config-if)#int E0 RouterC(config-if)#ip address 192.168.3.1 255.255.255.0 RouterA#show frame-relay map Serial0 (up): ip 192.168.1.2 dlci 17(0x11, 0x42F), dynamic, broadcast,, status defined, active ip 192.168.1.3 dlci 18(0x12, 0x44A), dynamic, broadcast,, status defined, active RouterA#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) Active Inactive Deleted Static Local 2 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 17, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 76 output pkts 89 in bytes 5431 208

out bytes 5621 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 34 out bcast bytes 7654 pvc create time 01:25:32, last time pvc status changed 01:11:12 DLCI = 18, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 65 output pkts 73 in bytes 4956 out bytes 5156 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 54 out bcast bytes 5652 pvc create time 01:14:30, last time pvc status changed 01:20:12 RouterB#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10,0x3E0), dynamic, broadcast,, status defined, active RouterB#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) Active Inactive Deleted Local 1 0 0 Switched 0 0 0 Unused 0 0 0

Static 0 0 0

DLCI = 16, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 43 output pkts 42 in bytes 3411 out bytes 4424 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 24 out bcast bytes 5231 pvc create time 01:18:32, last time pvc status changed 01:08:23 RouterC#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10,0x3E0), dynamic, broadcast,, status defined, active RouterC#show frame-relay pvc PVC Statistics for interface Serial0 (Frame Relay DTE) Active Inactive Deleted Static Local 1 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 16, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0 input pkts 24 output pkts 30 in bytes 7511 out bytes 6521 dropped pkts 0 in FECN pkts0 in BECN pkts 0 out FECN pkts 0 out BECN pkts0 in DE pkts 0 out DE pkts 0 out bcast pkts 24 out bcast bytes 4252 pvc create time 01:13:43, last time pvc status changed 01:02:43

209

Konfigürasyondan da anlaşılacağı üzere statik IP-DLCI adres eşleştirmesi için konfigürasyon yapılmamıştır. show frame-relay map komutuyla görüntülendiği gibi B ve C yönlendiricileri birbirlerine hangi DLCI adresi ile ulaşacaklarını bilememektedirler. Dolayısıyla iki yönlendirici birbirine ulaşamamaktadır. Bu iki yönlendiricide de sadece A yönlendiricisinin IPDLCI adres bilgisi bulunmaktadır. B ve C yönlendiricileri ve bunlara bağlı subnetlerin iletişimini sağlamak için statik olarak IP-DLCI adres bilgileri konfigüre edilmelidir. Aşağıdaki konfigürasyonlarla B ve C yönlendiricilerine statik IP-DLCI adres eşleştirme bilgileri tanımlanmıştır. Böylece bu yönlendiricilere bağlı subnetler birbirleriyle A yönlendiricisi üzerinden iletişim kurabileceklerdir. RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#frame-relay map ip 192.168.1.3 16 broadcast RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config)#int S0 RouterC(config-if)#encapsulation frame-relay RouterC(config-if)#frame-relay interface-dlci 16 RouterC(config-if)#ip address 192.168.1.3 255.255.255.0 RouterB(config-if)#frame-relay map ip 192.168.1.2 16 broadcast RouterC(config-if)#int E0 RouterC(config-if)#ip address 192.168.3.1 255.255.255.0 RouterB#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active ip 192.168.1.3 dlci 16(0x10, 0x3E0), static, cisco,, status defined, active RouterC#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active ip 192.168.1.2 dlci 16(0x10, 0x3E0), static, cisco,, status defined, active Yukarıdaki konfigürasyonlarla birlikte B ve C yönlendiricileri birbirleriyle iletişim kurabilmektedir. Şöyle ki; B yönlendiricisine bağlı 192.168.2.0/24 subnetinden bir bilgisayar C’ye bağlı 192.168.3.0/24 subnetinden bir bilgisayar ile iletişim kurmak istediğini düşünelim. B yönlendiricisi, 192.168.3.0/24 subnetine S0 arayüzünden ulaşılacağını yönlendirme tablosundan öğrenir. Bir sonraki yönlendiricinin IP adresi 192.168.1.3 olacaktır. Data Link katmanında yazılacak DLCI adresi de IP-DLCI adres tablosundan öğrenilir. DLCI adresi de 16 olarak yazılacaktır. Global DLCI adresi 16 olan A yönlendiricisidir. Böylece paket A’ya gelir. Ağ katmanındaki hedef IP adresi kendisine direkt bağlı olan subnet olmadığı için A yönlendiricisi yönlendirme tablosuna bakar. Alınan paketin tekrar S0 arayüzünden gönderilmesi gerektiğine karar verir. Bir sonraki yönlendiricinin IP adresi 192.168.1.3 olacaktır. Data Link katmanında yazılacak DLCI adresini IP-DLCI adres tablosundan öğrenir. DLCI adresi 18 olarak yazılacaktır. Böylece B’den çıkan paket C’ye ulaşır. ÖRNEK 3.

210

Bu örnekte ağdaki yönlendiricilerin birbirine direkt ulaşabildiği ve tam yedekli bir yapı oluşturulmuştur. Her bir yönlendiricide 2 adet DLCI adresi tanımlanmıştır. Ağdaki uç sayısı arttıkça her bir yönlendiricide (Uç Sayısı-1) adet DLCI adresi tanımlanmalıdır. Ağdaki bütün yönlendiriciler, bütün sanal devreleri tek bir fiziksel arayüzle karşılamaktadır. Bu ağda merkezi bir yönlendirici yoktur. Bir önceki örnekte olduğu gibi herhangi iki yönlendirici arasındaki trafik diğer başka bir yönlendirici üzerinden gerçekleşmesi sözkonusu değildir. IP-DLCI adres tabloları Inverse-ARP protokolü ile dinamik olarak oluşturulmaktadır. 192.168.4.0/24 Ethernet

A

DLCI 16 .1

192.168.1.0/24 DLCI 18

DLCI 17 .2

B

.3

Ethernet

C Ethernet

192.168.2.0/24

192.168.3.0/24

Şekil 11.18 (Karmaşık Topoloji Frame Relay Konfigürasyonu) RouterA(config)#int S0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#frame-relay interface-dlci 17 RouterA(config-if)#frame-relay interface-dlci 18 RouterA(config-if)#ip address 192.168.1.1 255.255.255.0 RouterA(config-if)#int E0 RouterA(config-if)#ip address 192.168.4.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#frame-relay interface-dlci 18 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config)#int S0 RouterC(config-if)#encapsulation frame-relay RouterC(config-if)#frame-relay interface-dlci 16 RouterC(config-if)#frame-relay interface-dlci 17 RouterC(config-if)#ip address 192.168.1.3 255.255.255.0 RouterC(config-if)#int E0 RouterC(config-if)#ip address 192.168.3.1 255.255.255.0 RouterA#show frame-relay map Serial0 (up): ip 192.168.1.2 dlci 17(0x11, 0x42F), dynamic, broadcast,, status defined, active

211

ip 192.168.1.3 dlci 18(0x12, 0x44A), dynamic, broadcast,, status defined, active RouterB#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active ip 192.168.1.3 dlci 18(0x12, 0x44A), dynamic, broadcast,, status defined, active RouterC#show frame-relay map Serial0 (up): ip 192.168.1.1 dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active ip 192.168.1.2 dlci 17(0x11, 0x42F), dynamic, broadcast,, status defined, active ÖRNEK 4. Yukarıdaki örneklerden anlaşılacağı üzere tek bir fiziksel arayüz ile bir çok farklı Frame Relay ağ dizaynı yapılabilmektedir. Fakat Yarı-Karmaşık topolojideki bir Frame Relay ağı tek bir fiziksel arayüzde sonlandırmak gerektiğinde alt arayüzlere ihtiyaç duyulmaktadır. Yıldız Topolojide alt arayüz konfigüre edilmeden de yapılabildiğini 2.nci örnekte gördük. Bu örnekte alt arayüz kullanarak konfigürasyon yapacağız. Alt arayüzler, noktadan-noktaya (point-to-point) ve çoklu-nokta (multi-point) olmak üzere iki farklı şekilde konfigüre edilebilir. Bu örnekte B ve C yönlendiricileri ile yıldız yapıda bir ağ oluşturulacağı için A yönlendiricisinde 2 adet noktadannoktaya alt arayüz oluşturulmuştur. Bu iki alt arayüz de farklı iki fiziksel arayüz gibi düşünülebilir. Dolayısıyla 2 farklı IP subneti kullanılmaktadır. A’nın global DLCI adresi 16, B’nin global DLCI adresi 17 ve C’nin global DLCI adresi 18’dir. 192.168.4.0/24 Ethernet

DLCI 16 S0.1

A

192.168.1.0/24

S0.2

192.168.5.0/24

DLCI 17

DLCI 18

B

C Ethernet

Ethernet

192.168.2.0/24

192.168.3.0/24

Şekil 11.19 (Yıldız Topoloji Frame Relay Konfigürasyonu) RouterA(config)#int S0 RouterA(config-if)#encapsulation frame-relay cisco RouterA(config-if)#int S0.1 point-to-point RouterA(config-subif)#frame-relay interface-dlci 17 RouterA(config-subif)#ip address 192.168.1.1 255.255.255.0 RouterA(config-subif)#int S0.2 point-to-point RouterA(config-subif)#frame-relay interface-dlci 18 RouterA(config-subif)#ip address 192.168.5.1 255.255.255.0

212

RouterA(config-subif)#int E0 RouterA(config-if)#ip address 192.168.4.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay cisco RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config)#int S0 RouterC(config-if)#encapsulation frame-relay cisco RouterC(config-if)#frame-relay interface-dlci 16 RouterC(config-if)#ip address 192.168.5.2 255.255.255.0 RouterC(config-if)#int E0 RouterC(config-if)#ip address 192.168.3.1 255.255.255.0 Yönlendiriciler IP-DLCI adres tablosunu Inverse-ARP protokolü ile dinamik olarak oluşturmaktadır. 2.nci örnekte olduğu gibi B ve C yönlendiricileri arasında iletişim yoktur. İletişimin gerçekleşebilmesi için statik IP-DLCI adres bilgilerinin tanımlanması gerekmektedir. ÖRNEK 5. Bu örnekte alt arayüz konfigürasyonunu zorunlu hale getiren Yarı-Karmaşık topoloji incelenecektir. Bu tip topolojinin bir bölümünde tam karmaşık yapı, diğer bölümünde ise noktadan-noktaya yapı bulunmaktadır. 192.168.4.0/24 Ethernet

A

DLCI 16

192.168.1.0/24 192.168.5.0/24

DLCI 19

DLCI 17 DLCI 18

B Ethernet

192.168.2.0/24

C C Ethernet

D Ethernet

192.168.6.0/24

192.168.3.0/24

Şekil 11.20 (Yarı-Karmaşık Topoloji Frame Relay Konfigürasyonu) Şekil 11.20’de görüldüğü gibi A yönlendiricisinin global DLCI adresi 16, B’nin global DLCI adresi 17, C’nin global DLCI adresi 18 ve D’nin global DLCI adresi 19’dur. A yönlendiricinin S0 arayüzünde noktadan-noktaya ve çoklu-nokta olmak üzere iki farklı alt arayüz oluşturulmuştur. B yönlendiricisi A’ya bağlı fakat C ve D yönlendiricilere trafiği A üzerinden yönlendirmektedir. Alt arayüzler farklı fiziksel arayüzler gibi çalıştığından IP Split Horizon özelliği aktif bile olsa C ve D yönlendiricilerinden gelen yönlendirme güncelleme mesajları B’ye aktarılır. Ayrıca B’nin A’ya gönderdiği yönlendirme güncelleme mesajları C ve D’ye aktarılır. Çünkü A’da tanımlı S0.1 ve S0.2 alt arayüzleri farklı arayüzlerdir.

213

RouterA(config)#int S0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#int S0.1 point-to-point RouterA(config-subif)#frame-relay interface-dlci 17 RouterA(config-subif)#ip address 192.168.1.1 255.255.255.0 RouterA(config-subif)#int S0.2 multipoint RouterA(config-subif)#frame-relay interface-dlci 18 RouterA(config-subif)#frame-relay interface-dlci 19 RouterA(config-subif)#ip address 192.168.5.1 255.255.255.0 RouterA(config-subif)#int E0 RouterA(config-if)#ip address 192.168.4.1 255.255.255.0 RouterB(config)#int S0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-if)#ip address 192.168.1.2 255.255.255.0 RouterB(config-if)#int E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterC(config)#int S0 RouterC(config-if)#encapsulation frame-relay RouterC(config-if)#int S0.1 multipoint RouterC(config-subif)#frame-relay interface-dlci 16 RouterC(config-subif)#frame-relay interface-dlci 19 RouterC(config-subif)#ip address 192.168.5.2 255.255.255.0 RouterC(config-subif)#int E0 RouterC(config-if)#ip address 192.168.3.1 255.255.255.0 RouterD(config)#int S0 RouterD(config-if)#encapsulation frame-relay RouterD(config-if)#int S0.1 multipoint RouterD(config-subif)#frame-relay interface-dlci 16 RouterD(config-subif)#frame-relay interface-dlci 18 RouterD(config-subif)#ip address 192.168.5.3 255.255.255.0 RouterD(config-subif)#int E0 RouterD(config-if)#ip address 192.168.6.1 255.255.255.0 A, C ve D yönlendiricileri arasında da trafik direkt olarak aktarılır. Çünkü bu yönlendiriciler IP-DLCI adres tablosunu Inverse-ARP protokolü dinamik olarak oluşturmaktadır. Aşağıda görüntülenen IP-DLCI adres tablosu bunu onaylamaktadır. RouterA#show frame-relay map Serial0.1 (up): point-to-point dlci, dlci 17(0x11, 0x42F), dynamic, broadcast,, status defined, active Serial0.2 (up): multi-point dlci, dlci 18(0x12, 0x44A), dynamic, broadcast,, status defined, active multi-point dlci, dlci 19(0x13, 0x49A), dynamic, broadcast,, status defined, active RouterB#show frame-relay map

214

Serial0 (up): ip 192.168.1.1 dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active RouterC#show frame-relay map Serial0.1 (up): multi-point dlci, dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active multi-point dlci, dlci 19(0x13, 0x49A), dynamic, broadcast,, status defined, active RouterD#show frame-relay map Serial0.1 (up): multi-point dlci, dlci 16(0x10, 0x3E0), dynamic, broadcast,, status defined, active multi-point dlci, dlci 18(0x12, 0x44A), dynamic, broadcast,, status defined, active 11.3.4. ISDN (Integrated Services Digital Network) ISDN, mevcut telefon hatları üzerinden sağlanan dijital servistir. Bu teknoloji ile data, ses, görüntü aynı anda iletilebilmektedir. Telefon şirketleri tarafından sağlanan bu servis, OSI modelindeki ağ, datalink ve fiziksel katmanda bulunan standartları içermektedir. ISDN standartları ile bu iletişim metodunun desteklediği donanım ve uçtan uca bağlantı kurma metodolojisi belirlenmektedir. ISDN teknolojisinde bağlantı kurulması ve datanın transferi için kanallar kullanılmaktadır. B ve D olmak üzere iki tip kanal vardır. B kanalı datanın transferi, D kanalı da ISDN omurgasına bağlantının sağlanması için kullanılmaktadır. ISDN teknolojisinde kullanılan terminolojiyi kısaca inceleyelim. B Kanalı (B Channel) ISDN teknolojisinin temel parçalarından olan B kanalı, datanın taşındığı kanal olarak bilinmektedir. Saniyede 64000 bitlik kapasiteye sahiptir. D Kanalı (D Channel) Servis Sağlayıcı tarafındaki ISDN anahtar ile son kullanıcı tarafındaki ISDN cihaz arasındaki ISDN bağlantının kurulması için kullanılan kanaldır. CAS (Channel Association Signalling) Datanın taşındığı kanalda bağlantının kurulması için yapılan sinyalleşmenin de taşınmasına denmektedir. In-band sinyalleşme olarak da anılmaktadır. CCS (Common Channel Signalling) Data ile sinyalleşmenin ayrı kanallarda taşınmasına denmektedir. Out-of-band sinyalleşme olarak da anılmaktadır. ISDN PRI ve BRI hatlarda bu metod kullanılmaktadır. DNIS (Dialed Number Identification Services) ISDN numarasıdır. LAPD (Link Access Protocol-D) ISDN teknolojisinin Data Link katmanı protokolüdür. POTS (Plain Old Telephone Services) En temel telefon servisidir. SPID (Service Profile Identifier) Özellikle Kuzey Amerikada BRI hatlarda kullanılan, Servis Sağlayıcı tarafından son kullanıcı tarafındaki BRI portuna verilen bir numaradır. Bu numara ile son kullanıcı ISDN anahtara bağlanabilmektedir. BRI ve PRI olmak üzere iki farklı ISDN arayüzü vardır. ISDN BRI arayüzünde 2 adet B kanalı ve 1 adet D kanalı vardır. ‘2B+D’ olarak da bilinmektedir. B kanalı 64 Kbps, D kanalı 16

215

Kbps kapasiteye sahiptir. Toplamda 144 Kbps kapasitesi vardır. İki farklı ISDN PRI arayüzü vardır. Kuzey Amerika ve Japonya’da kullanılan, T1 olarak da anılan arayüzde 23 adet B kanalı ve 1 adet D kanalı bulunmaktadır. Avrupa ve dünyanın diğer birçok yerinde kullanılan, E1 olarak da anılan arayüzde 30 adet B kanalı ve 1 adet D kanalı bulunmaktadır. ISDN PRI hatlardaki D kanalı 64 Kbps kapasiteye sahiptir. ISDN BRI İletişim Yönlendirici ile bağlı olduğu ISDN anahtar arasında D kanalı daima aktiftir. Şekil 11.21’deki A yönlendiricisi, B yönlendiricisi ile bağlantı kurmak istediğinde LAPD protokolünü kullanarak ISDN anahtara iletişim kurmak istediği B yönlendiricisinin SPID numarasını D kanalı üzerinden iletir. ISDN anahtar ise aranan numaranın en yakın olduğu anahtara kadar olan rotayı saptar ve aranan numarayı bu anahtara SS7 sinyalleşme protokolünü kullanarak iletir. B yönlendiricisine en yakın olan ISDN anahtar ise B’nin arandığını LAPD protokolünü kullanarak iletir. Arayan ve aranan cihazlar uyarıldıktan sonra her iki cihaz birbirleriyle B kanalı üzerinden data alışverişi yaparlar. A ve B yönlendiricileri B kanalı üzerinden PPP protokolü ile konuşurlar.

A

192.168.2.0/24 BRI0

SPID # A

BRI0

B-Kanalları D-Kanalı

ISDN Anahtar

B

Ethernet

E thernet

192.168.1.0/24

ISDN SPID # B Anahtar

Şekil 11.21 (ISDN BRI İletişim) ISDN Referans Noktaları Son kullanıcının Telekomun ISDN omurgasındaki kendisine en yakın ISDN anahtara bağlanabilmesi için ISDN standartlarına uyumlu fonksiyonları yapabilen cihazları kullanması gerekmektedir. Bu cihazlar yapabildikleri fonksiyonlara göre farklılık arzetmektedir. ISDN teknolojisi mevcut telekom altyapısını kullandığı için; üretici firmaların, ISDN teknolojisini kullanabilecek bütün son kullanıcılara yönelik cihaz üretebilmesi için belli referans noktaları belirlemek gerekmektedir. Çünkü son kullanıcıların ISDN omurgasına bağlanmak için kullanacakları mevcut cihazları çok çeşitlidir. U Arayüz

A

S/T Arayüz

B

NT1

U Arayüz

Telco

C

D

R Arayüz

S Arayüz

TA

S/T U NT1 Arayüz Arayüz

NT2

T NT1 Arayüz

U Arayüz

Şekil 11.22 (ISDN Referans Noktaları) Analog bir telefon ile analog sinyalleşmeyi destekleyen PC’ye bağlı bir modemin bu omurgaya bağlanabilmesi için ISDN standartlarında sinyal üretebilmelidir. Son kullanıcıların alabileceği ISDN cihaz tür ve fonksiyonlarını Tablo 11.3’te görebilirsiniz.

216

CİHAZ TÜRÜ

FONKSİYON

TE1-Terminal Endpoint 1

ISDN BRI sinyalleşmeyi anlayabilen cihazdır. S referans noktasını kullanır.

NT2-Network Termination 2

Telekom tarafından kullanılan Data Link ve Ağ katmanı işlevlerini yerine getiren anahtar veya PBX gibi cihazlardır. Son kullanıcı tarafında nadiren de bulunabilmektedir.

NT1-Network Termination 1

Fiziksel katman işlevlerini yerine getiren ve son kullanıcıları ISDN ağa bağlayan cihazdır. Telekomdan gelen 2 telli ISDN hattı ISDN cihazların kullanabileceği 4 telli hatta dönüştürür.

TE2-Terminal Endpoint 2

ISDN BRI sinyalleşmeyi anlamayan cihazdır. TA cihazıyla ISDN sinyalleşmeyi anlayabilir duruma dönüştürülebilir.

TA-Terminal Adapter

ISDN BRI sinyalleşmeyi anlamayan cihazların ürettiği EIA/TIA-232, V.35 ve diğer sinyalleri ISDN BRI sinyallerine dönüştüren cihazdır.

Tablo 11.3 (ISDN Cihazları) Yukarıda bahsedildiği gibi son kullanıcı tarafında farklı fonksiyonları yerine getiren cihazları birbirine bağlamak için belli arayüz referans noktaları belirlemek gerekmektedir. ISDN standartlarında iletişiminde kullanılan ISDN iletişim metodolojisi tanımlanmaktadır. Bu standartlarda ISDN cihazlarının donanım tanımları yapılması beklenemez. Fakat mevcut analog cihazların ve üretilecek ISDN cihazların entegre olabilmesi için arayüzlere belirli referans bilgilerinin tanımlanması gerekmektedir. ISDN standartlarında bu bilgiler ISDN referans noktası olarak tanımlanmıştır. Tablo 11.4’te bu referans noktalarını görebilirsiniz. ISDN Referans Noktası

Tanımı

R-Referans Noktası

ISDN uyumlu olmayan cihaz ile TA cihazı arasındaki noktadır.

S-Referans Noktası

ISDN uyumlu cihaz ile NT2 cihazı arasındaki noktadır.

T-Referans Noktası

NT2 cihazı ile ISDN ağı arasındaki noktadır.

U-Referans Noktası

NT1 cihazı ile ISDN omurgası arasındaki noktadır.

Tablo 11.4 (ISDN Referans Noktaları) ISDN Protokolleri ITU-T organizasyonu tarafından güncellenen ISDN protokolleri konu başlıklarına göre 3’e ayrılmaktadır. ISDN protokolleri, gruplarına göre belirli bir notasyon kullanmaktadırlar. E-Serisi Telefon ağındaki ISDN için belirlenen standartları içermektedir. Bu standartlar E ile başlayacak şekilde kodlanmaktadır. Örneğin; E.163 standardı ile Uluslararası telefon numaralandırılması tanımlanmaktadır. E.164 ile Uluslararası ISDN adreslemesi tanımlanmaktadır. I-Serisi ISDN teknolojisinin kavram, terminoloji ve metodolojisi bu grup standartlarda tanımlanmaktadır. Örneğin; I.100 standardı ile ISDN kavramları ve diğer I-Serisi standarların yapısının nasıl olması gerektiği tanımlanmıştır. I.200 ISDN servislerini, I.300 ağ konularını, I.400 kullanıcı-ağ (User-Network Interface-UNI) arayüzünün nasıl destekleneceğini tanımlamaktadır.

217

Q-Serisi ISDN ağında sinyalleşme ve anahtarlamanın nasıl yapılacağı bu grup standartlarda tanımlanmaktadır. Örneğin; Q.921 standardı ISDN Data-Link katmanındaki LAPD protokolünün nasıl işleceğini tanımlamaktadır. Q.931 ise terminal ile ISDN anahtar arasındaki Ağ katmanı fonksiyonlarını ve işleyişini tanımlamaktadır. ISDN Anahtar Tipleri Son kullanıcı cihazının bağlanacağı Telekom tarafındaki ISDN anahtarının üreticisine göre çağrı prosedürü ve data alışveriş tekniği farklı olabilmektedir. ISDN anahtarı tipini öğrenip son kullanıcı tarafındaki cihazda bu anahtar tipini konfigüre etmek gerekmektedir. Son kullanıcı tarafında Cisco yönlendirici kullanılıyorsa isdn switch-type (anahtar-tipi) komutu ile yönlendirici konfigüre edilebilmektedir. Komuttaki anahtar tipi alanına Tablo 11.5’deki uygun olan anahtar tipini yazabilirsiniz. Tablodaki anahtar tipleri bütün alternatiflerden sadece bir kaçıdır. Anahtar Tipi

Tanım

basic-5ess

AT&T basic rate anahtar (ABD)

basic-dms100

Nortel DMS-100 basic rate anahtar (ABD)

basic-ni1

National ISDN-1 (ABD)

basic-ts013

Avustralya TS013 anahtar (Avustralya)

basic-net3

İngiltere ve Avrupa NET3 anahtar

ntt

NTT ISDN anahtar (Japonya)

primary-4ess

AT&T 4ESS ISDN PRI anahtar (ABD)

primary-dms100

AT&T 5ESS ISDN PRI anahtar (ABD)

primary-5ess

Nortel DMS-100 ISDN PRI anahtar (ABD)

Tablo 11.5 (ISDN Anahtar Tipleri) SPID (Service Profile Identifier) ISDN BRI hatlarda kullanılan ve telefon numarası olarak da düşünülebilen son kullanıcı tarafındaki arayüze verilen bir numaradır. Telekom tarafında kullanılan anahtar tipine göre bu numara ya kullanılır veya gerek duyulmaz. Örneğin; kullanılan anahtar basic-ni1 veya basic-dms100 ise SPID numarası kullanılmaktadır. Fakat anahtar basic-5ess ise SPID numarası kullanılmaz. Cisco yönlendiricilerinin ISDN BRI arayüzlerinde isdn spid1 (spid-numarası) [ldn] ve isdn spid2 (spid-numarası) [ldn] arayüz komutlarıyla iki B kanalına da SPID numarası verilmektedir. DDR (Dial-on-Demand Routing) Ağ yöneticileri, • Mevcut ağ yapılarında WAN bağlantılarının bant-aralığı yetmediği ve belli periyotlarla daha yüksek bant-aralığına ihtiyaç duydukları; • WAN bağlantıları kopup geçici süreyle daha düşük bant-aralığında bağlantıya ihtiyaç duydukları; • Herhangi bir WAN bağlantısı olmadığı halde belirli zaman aralıklarında data alışverişine ihtiyaç duydukları; zaman DDR özelliğini kullanmaktadırlar. DDR, yukarıda bahsedilen ihtiyaç türlerine benzer ihtiyaçlara kısa zaman aralıklarında küçük hacimli data alışverişini PSTN veya ISDN hatlar üzerinden cevap veren hizmettir. DDR, özellikle ISDN BRI hatlarda kullanılmaktadır. DDR operasyonunun çalışma düzeni aşağıdaki adımlarla anlatılmaktadır. 1.nci Adım Yönlendirici tarafından alınan paketin hedef adresine göre gönderileceği arayüz belirlenir. 2.nci Adım Gönderilecek paket Ağ yöneticisi tarafından daha önce tanımlanmış ‘ilgili trafik’ (interesting traffic) tanımlamasına uyuyorsa bu trafik DDR çağrısını tetikler. 218

3.ncü Adım DDR çağrısının nasıl yapılacağı yine Ağ yöneticisi tarafından daha önce tanımlanmış olduğu şekliyle yapılır ve bağlantı kurulur. 4.ncü Adım Kurulan bağlantı üzerinden data transferi gerçekleşir. 5.nci Adım Data transferi bitmiş ve başka data transferi yapılmayacaksa veya bağlantı zaman aşımına uğramışsa bağlantı kopar. Yönlendiricilerde DDR özelliği 3 adımda konfigüre edilmektedir. 1. DDR özelliği hangi arayüzden hangi uzak alan subnetine bağlanılacağı bilgisi statik rota ile konfigüre edilmektedir. Sürekli bu uzak alan subnetine bağlı kalınmayacağı için diğer uçtaki yönlendirici ile dinamik yönlendirme yapılamayacaktır. Dolayısıyla DDR özelliği ile kurulacak bağlantıda trafiği yönlendirebilmek için statik rota girilmektedir. Daha önce de bahsedildiği gibi ip route önek maske {bir-sonraki-yönlendirici|çıkış arayüzü} global konfigürasyon komutu ile statik rota konfigürasyonu yapılmaktadır. 2. DDR çağrısını tetiklemesini sağlayan trafik tanımlanmalıdır. Bu trafik dialer-list [liste no] protocol [protokol-tipi] permit | deny global konfigürasyon komutuyla tanımlanmaktadır. Yönlendiricide birden fazla BRI arayüzünün olduğu durumlarda dialer-list komutuyla tanımlanan trafiğin hangi arayüze çağrı tetikleteceği dialer-group [dialer-list liste no] arayüz komutuyla belirtilmektedir. BRI arayüzün hangi ISDN numarasını araması gerektiği dialer string [ISDN No] arayüz komutuyla belirtilmektedir. Dialer string komutu yerine dialer map protocol-tipi [bir-sonraki-yönlendirici] name [bir-sonraki-yönlendirici adı] [speed 56 | 64][broadcast] ISDN No arayüz komutu kullanılarak kurulacak bağlantı daha güvenli hale getirilebilir. Data-link katmanında PPP protokolü kullanıldığından dialer map komutunda belirtilen IP adresi ve yönlendirici adı bilgisi kullanılarak kimlik doğrulama (authentication) işlemi gerçekleştirilmektedir. Ayrıca tek bir BRI arayüzünün ulaşacağı subnete göre birden fazla farklı yönlendiricilere bağlanması gerektiği durumlarda dialer map arayüz komutu kullanılmalıdır. Dialer map komutu dialer-group komutu ile birlikte kullanılması gerektiği unutulmamalıdır. Dialer-list komutuyla belirtilen protokol tipine göre bütün trafik için çağrı tetiklenir. Ağ katmanında kullanılan protokolün Erişim Listeleri ile daha daraltılmış trafik tanımlanabilmektedir. Bu dialer-list [liste no] protocol [protokol-tipi] list [Erişim Liste No] global komutu ve kullanılan protokole göre IP veya IPX Standart/Genişletilmiş Erişim Listeleri komutları ile sağlanmaktadır. Yine dialer-list komutu dialer-group komutu ile birlikte kullanılmaktadır. Yönlendiricilerin DDR özelliğinde kullanılan bazı opsiyonel komutlar bulunmaktadır.

219

dialer load-threshold [yüzde] {outbound|inbound|either} arayüz komutu ile BRI arayüzün ikinci kanalını da ilk kanaldaki trafik yüzdesinin komutta belirtilen yüzdeye ulaşması durumunda aktif hale getirmesi sağlanacaktır. Komutta yüzde kısmının değeri 1 ile 255 arasında değişmektedir. 255 değere yüzde 100’ü ifade etmektedir. Komutun sonundaki outbound, inbound ve either opsiyonları da arayüzün çıkış, giriş veya her iki yöndeki trafiğin yüzdesinin hesaplandığını ifade etmektedir. dialer idle-timeout [saniye] arayüz komutu ile BRI arayüzünün kurduğu bağlantıyı ne kadar süreyle trafik olmadığında keseceğini belirtilmektedir. Örnek: ISDN Anahtar

ISDN Anahtar

ISDN

BRI0

A

BRI0 S0

Frame Relay 192.168.3.0/24

192.168.1.0/24

S0

B

Ethernet

E thernet

192.168.4.0/24

192.168.2.0/24

Şekil 11.23 (ISDN Dial-backup Bağlantısı) A ve B yönlendiricileri birbirlerine Frame Relay ağ üzerinden bağlıdır. WAN bağlantısı koptuğu zaman A yönlendirici BRI arayüzünü kullanarak B yönlendiricisine ISDN ağ üzerinden bağlanacaktır. RouterA#config ter RouterA(config)#username RouterB password cisco RouterA(config)#isdn switch-type basic-dms100 RouterA(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq telnet RouterA(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp RouterA(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq smtp RouterA(config)#access-list 101 deny tcp any any RouterA(config)#dialer-list 1 list 101 RouterA(config)#router eigrp 105 RouterA(config-router)#network 192.168.1.0 RouterA(config-router)#network 192.168.3.0 RouterA(config)#ip route 192.168.2.0 255.255.255.0 192.168.4.2 200 RouterA(config)#interface S0 RouterA(config-if)#ip address 192.168.3.1 255.255.255.0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#frame-relay interface-dlci 16 RouterA(config-if)#interface E0 RouterA(config-if)#ip address 192.168.1.1 255.255.255.0 RouterA(config-if)#interface BRI0 RouterA(config-if)#ip address 192.168.4.1 255.255.255.0

220

RouterA(config-if)#encapsulation ppp RouterA(config-if)#ppp authentication chap RouterA(config-if)#dialer map ip 192.168.4.2 name RouterB speed 64 broadcast 14155563452 RouterA(config-if)#dialer map ip 192.168.4.2 name RouterB speed 64 broadcast 14156283761 RouterA(config-if)#dialer idle-timeout 300 RouterA(config-if)#dialer-group 1 RouterA(config-if)#isdn spid1 14158759673 2372123 RouterA(config-if)#isdn spid1 14158453621 2372473 RouterB#config ter RouterB(config)#username RouterA password cisco RouterB(config)#isdn switch-type basic-dms100 RouterB(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq telnet RouterB(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ftp RouterB(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq smtp RouterB(config)#access-list 101 deny tcp any any RouterB(config)#dialer-list 1 list 101 RouterB(config)#router eigrp 105 RouterB(config-router)#network 192.168.2.0 RouterB(config-router)#network 192.168.3.0 RouterB(config)#ip route 192.168.1.0 255.255.255.0 192.168.4.1 200 RouterB(config)#interface S0 RouterB(config-if)#ip address 192.168.3.2 255.255.255.0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#frame-relay interface-dlci 17 RouterB(config-if)#interface E0 RouterB(config-if)#ip address 192.168.2.1 255.255.255.0 RouterB(config-if)#interface BRI0 RouterB(config-if)#ip address 192.168.4.2 255.255.255.0 RouterB(config-if)#encapsulation ppp RouterB(config-if)#ppp authentication chap RouterB(config-if)#dialer map ip 192.168.4.1 name RouterA speed 64 broadcast 14158759673 RouterB(config-if)#dialer map ip 192.168.4.1 name RouterA speed 64 broadcast 14158453621 RouterB(config-if)#dialer idle-timeout 300 RouterB(config-if)#dialer-group 1 RouterB(config-if)#isdn spid1 14155563452 2372123 RouterB(config-if)#isdn spid1 14156283761 2372473 Yukarıdaki konfigürasyonu adım adım inceleyelim. A ve B yönlendiricilerde kullanılan ‘username RouterA/RouterB password cisco’ komutuyla yönlendiriciler ISDN hat üzerinden bağlı olduğu zaman Data-Link katmanında kullanacakları PPP protokolü için ‘ppp authentication chap’ komutuyla belirlenmiş olan CHAP protokolünü kullanarak kimlik doğrulaması yapılacaktır. ‘isdn switch-type basic-dms100’ komutuyla yönlendiricilerin Telekom tarafında bağlanacakları en yakın ISDN anahtarın anahtarlama tipi belirlenmektedir. ‘dialer-list 1 list 101’ komutuyla ISDN çağrıyı tetikleyecek trafik tanımlanmaktadır. Bu trafik tanımı 101 nolu Erişim Listesi ile daha detaylı olarak tanımlanmaktadır. ‘router eigrp 105’ komutuyla yönlendiricilerde EIGRP dinamik yönlendirme protokolü aktif hale getirilmektedir. Bu komuttan sonra tanımlanan statik rotanın (ip route 192.168.2.0 255.255.255.0 192.168.4.2 200/ ip route 192.168.1.0 255.255.255.0 192.168.4.1 200) sonundaki 200 değeri bu rotanın Yönetimsel Uzaklığını (Administrative Distance) belirtmektedir.

221

NOT: Yönetimsel Uzaklık, yönlendiricilerin yönlendirme tablolarını diğer yönlendiricilere göndermek için kullandıkları dinamik yönlendirme protokolleri (RIP, EIGRP, IGRP, OSPF, BGP, IS-IS vb.) arasındaki öncelik değeridir. Bu konu detay bilgi için 9.2.2 bölümünü inceleyiniz. A ve B yönlendiricileri Frame Relay üzerinden bağlı iken yönlendirme tablosu EIGRP protokolü ile oluşturulacaktır. Tablo 9.13’te belirtildiği gibi EIGRP protokolünün Yönetimsel Uzaklığı 90’dır. A yönlendiricisinden 192.168.2.0/24 subnetine gönderilecek paket S0 arayüzünden gönderilir ve ISDN çağrı tetiklenmez. Çünkü yönlendirici, yönlendirme tablosunda bu subnete ulaşım için hem EIGRP hem statik rota bilgisini bulsa bile Yönetimsel Uzaklık değerlerini karşılaştıracak ve Uzaklık değeri küçük olan EIGRP rotasını tercih edecektir. Frame Relay hat koptuğunda A yönlendiricisinden 192.168.2.0/24 subnetine gönderilecek paket BRI0 arayüzünden gönderilir. Yönlendirici, WAN bağlantısı koptuğu için EIGRP rotaları belli bir sure sonra silinecektir. Gönderilecek paketin hedef adresi 192.168.2.0/24 subnetine ait olduğu ve bu subnete ait yönlendirme bilgisi yönlendirme tablosundaki statik rota olduğu için ISDN çağrı tetiklenebilecektir. Fakat bu çağrı tetiklenmeden önce yönlendirici, trafiğin BRI0 arayüzü ile ilişkili olan dialer-list komutuyla belirlenen kriterlere göre çağrıyı tetikleyip tetikleyemeceği incelenir. Eğer trafiğe çağrı yapmasına izin verilmişse dialer map komutuyla belirlenen ISDN numarasına çağrı yapar. Bağlantı kurulurken ‘username RouterA/RouterB password cisco’ ve dialer map komutlarıyla belirlenen değerlerle kimlik doğrulaması yapar. Bağlantı kurulduktan sonra data alışverişi gerçekleşir. Trafik akışı ‘dialer idle-timeout 300’ komutuyla belirlenen 300 saniye süresinde durursa bu bağlantı koparılır. A ve B yönlendiricileri, ISDN hat üzerinden bağlı iken Frame Relay WAN bağlantısı tekrar çalışır duruma gelirse her iki yönlendirici EIGRP protokolü ile yönlendirme bilgilerini alırlar. Her iki yönlendirici de birbirlerine paketleri artık ISDN BRI arayüzünden değil seri arayüzünden gönderecektir. EIGRP protokolünün Yönetimsel Uzaklık değeri 90 olduğu ve her iki yönlendiricide de LAN subnetlerinin statik rotasının Yönetimsel Uzaklık değeri 200 olarak tanımlandığı için yönlendiriciler LAN subnetlerine olan trafiği Frame Relay ağı üzerinden yönlendirecektir.

222

ÜNİTE 12 – OSPF PROTOKOLÜ 12.1. OPEN SHORTEST PATH FIRST (OSPF) TERMİNOLOJİSİ OSPF, Link Durum Yönlendirme Protokolü olup sektörde herkese açık standart bir protokoldür. Ağda ulaşılması gereken segmente olan en kısa rotayı Dijkstra algoritmasını kullanarak tespit etmektedir. OSPF protokolünün çalışma prensibini anlamak için kullanılan terminolojiyi anlamak gerekir. Aşağıda OSPF terminolojisinde kullanılan kavramlar incelenecektir. neighbor (komşu): Aynı alanda OSPF prosesi çalışan arayüzü bulunan ve Hello paketi ile haberleşilmiş olan yönlendiricidir. Yönlendirme bilgi alışverişi yapılmamıştır. adjacency (yakın komşuluk): Yönlendirici ile atanmış yönlendirici (designated router) ve yedek atanmış yönlendirici (backup designated router) arasındaki sanal devredır. Hello paketi ile komşu olan bu yönlendiriciler, yönlendirme bilgi alışverişi yaparak aynı topoloji tablosuna sahip olurlar. designated router (atanmış yönlendirici): Sadece Ethernet ve FDDI gibi broadcast (multiaccess) ağlarda kullanılmaktadır. DR olarak kısaltma yapılmaktadır. Broadcast ağdaki yönlendirme bilgilerini kendisinde toplar ve diğerlerine dağıtır. Böylece ağdaki mesaj sayısı minimuma iner. backup designated router (yedek atanmış yönlendirici): Atanmış yönlendiricinin çalıştığı zamanlarda yedekte bekleyen ve DR’ın çalışmama durumunda hemen devreye giren yönlendiricidir. database descriptor: DBD veya DDP mesajları olarak da anılmaktadır. Yönlendiricilerin aşağıda anlatılacak olan exchange adımında birbirleriyle alışveriş yaptıkları mesajdır. Bu mesajlar, her yönlendiricide bulunan Komşuluk tablosundaki linklerin tanımlarını içeren LSA mesajlarını içermektedir. link: OSPF terminolojisinde kullanılmaktadır.

yönlendiricinin

herhangi

bir

ağa

atanmış

arayüzü

için

link state advertisement (LSA): OSPF koşan yönlendiricilerin birbirlerine gönderdikleri link durumunu ve yönlendirme bilgilerini içeren data paketidir. link state request (LSR): Yönlendirici DDP mesajı içindeki LSA mesajlarını kendi topolojik veritabanı ile karşılaştırır ve eğer alınan LSA mesajı veritabanında yoksa veya daha eski bir bilgi varsa bu linkle ilgili daha detay bilgi istemek için kullanılan pakettir. link state update (LSU): LSR mesajına cevaben hakkında bilgi istenen link ile ilgili bilgi içeren pakettir. area (alan): Aynı alan kimliğini taşıyan bir grup yönlendiricilerdir. Bir alandaki her bir yönlendirici aynı topoloji tablosuna sahiptir. Yönlendiricinin farklı arayüzü farklı alanlara atanmış olabilir. autonomous system (otonom sistem): Organizasyon içinde aynı yönlendirme protokolünü kullanan yönlendiriciler grubudur.

223

cost: OSPF için metrik değeridir. Standart bir tanımı yoktur. Cisco yönlendiricilerinde öngörülen OSPF metriği, bantgenişliği ile ters orantılıdır. Ne kadar çok bantgenişliği varsa bu rotanın daha az metrik değeri vardır; yani daha tercih edilir bir rotadır. internal router (iç yönlendirici): Bütün arayüzleri aynı alana atanmış yönlendiricidir. area border router-ABR (alan sınır yönlendiricisi): Arayüzlerinden bir kısmı bir alana, diğerleri başka alanlara atanmış yönlendiricidir. Alanlar arası geçişi sağlayan yönlendiricidir. autonomous system boundary router-ASBR (otonom sistem sınır yönlendiricisi): Bir onotom sistem içinde bulunan yönlendiricinin arayüzlerinden birinin başka bir ağ ya da farklı bir otonom sisteme bağlı olması durumunda bu yönlendirici otonom sistem sınır yönlendiricisi olarak adlandırılır. Başka bir ağ ve farklı bir otonom sistemden kastedilen EIGRP gibi farklı bir yönlendirme protokolünün koşması kastedilmektedir. ASBR, farklı yönlendirme protokol bilgilerini OSPF bilgilerine dönüştürmekten sorumludur. router ID (yönlendirici kimliği): Konfigüre edilmiş bütün loopback IP adreslerinin en yükseğidir. Eğer loopback IP adresleri konfigüre edilmemişse; fiziksel arayüzlere verilmiş en yüksek IP adresidir. 12.2. OSPF AĞ TOPOLOJİLERİ Broadcast multi-access Ethernet, Token-ring ve FDDI gibi broadcast iletişimi destekleyen LAN teknolojileridir. Bu ortamda OSPF koşan yönlendiriciler multicast trafik ile yönlendirme bilgilerini birbirleriyle paylaşırlar. Daha önce bahsedildiği gibi bu trafiğin azaltılabilmesi için ortamda DR ve BDR yönlendiricilerinin bulunması gerekmektedir. Dolayısıyla bu ortamlarda OSPF yönlendiriciler, DR ve BDR yönlendiricilerini seçerler. Nonbroadcast multi-access (NBMA) Frame Relay, X.25 ve ATM gibi WAN teknolojileri Ethernet gibi broadcast iletişimi desteklemezler. Bu teknolojiler de tek bir IP subneti kullanılabilmektedir. Bu teknolojilerin kullanıldığı durumlarda manuel OSPF konfigürasyonu ve DR, BDR seçimi yapılmalıdır. DR, ağ için LSA mesajları üretirler. Ağda multicast ve broadcast adresi tanımlanamayacağı için bu mesajlar unicast adresi ile herbir fiziksel arayüzlerden gönderilmektedir. Point-to-point Seri bağlantılarda noktadan noktaya bağlantı bulunmaktadır. İki uçtaki yönlendiricilerden biri data alıp diğeri gönderdiği için; OSPF protokolü, DR ve BDR seçimine gerek duymamaktadır. Frame Relay ve ATM teknolojilerde noktadan-noktaya bağlantı kurulabilmektedir. Bu tür durumlarda da DR ve BDR seçimine gerek duyulmamaktadır. Point-to-multipoint Merkezdeki tek bir fiziksel arayüzün birçok nokta ile bağlantı kurması durumunda birçok noktadan noktaya bağlantı kurulmaktadır. Bazı point-to-multipoint ağlar multicast ve broadcast desteklememektedir. Frame Relay teknolojisinde bu yapı oluşturulabilir. Tek bir IP subneti kullanılarak OSPF mesajları multicast ile aktarılır. Bu tür topolojilerde DR ve BDR seçimine de gerek duyulmaz. Virtual link Omurga alana (Area 0) direkt bağlantısı bulunmayan uzak alan ile omurga arasındaki sanal devredir. Omurga alan ile uzak alan arasındaki yönlendiriciler arasında tünel iletişim sağlanır ve OSPF trafiği unicast olarak aktarılır. Bu konu üzerinde daha detaylı olarak durulacaktır. 12.3. OSPF ÇALIŞMA SİSTEMİ

224

12.3.1. OSPF Komşuluğu Hello protokolü ile OSPF koşan yönlendiriciler, komşularını keşfederler. Bu protokolün içeriğiyle elde ettikleri bilgilerle ağ topolojisine göre DR ve BDR seçimini gerçekleştirir ve OSPF veritabanını oluştururlar. Hello paketleri her 10 saniyede bir arayüzlerden multicast olarak iletilmesi öngörülmüştür. Hello paketlerinin içeriği Tablo 12.1’da görülmektedir. ALAN Yönlendirici ID (Router ID) Ağ Maskesi (Network Mask)

TANIM

FONKSIYON

Yönlendiricide konfigüre edilen en yüksek IP adresidir. Yönlendirici ID’sini belirleyen arayüzün ağ maskesidir.

Yönlendiriciyi otonom sistemde tanımlamaktadır. Yönlendiricinin en yüksek IP adresinin subnet maskesidir. Hello paketindeki bilgilerin geçerli olabilmesi için bu paketi alan yönlendiricinin arayüzüyle aynı alan kimliğine sahip olması gerekmektedir. Manuel olarak DR veya BDR seçimi yapılması gerektiği durumlarda kullanılmaktadır. Yönlendiricinin komşuluk veritabanında olmasını sağlamaktadır. Keepalive mesajları gibidir. Bu süre içerisinde Hello mesajları alınmadığı takdirde yönlendirici ile iletişim kopmuş kabul edilir. Bu adresi öğrenen yönlendiriciler, OSPF mesajlarını bu IP adresine gönderirler. Bu adresi öğrenen yönlendiriciler, DR aktif olmadığı zaman OSPF mesajlarını bu IP adresine gönderirler. Yönlendirici kendi IP adresini bu alanda görürse bu mesajı aldıgığı yönlendirici ile veritabanı paylaşımı gerçekleştirilir.

Alan ID (Area ID)

Hello paketi gönderen arayüzünün Alan kimliğidir.

yönlendiricinin

Yönlendirici Önceliği (Router Priority)

Yönlendiricinin DR veya BDR seçimini belirlemektedir. Yüksek öncelik, yüksek DR veya BDR seçilme ihtimali demektir.

Hello Aralığı (Hello Interval)

Hello paketler arasındaki süredir. Öngörülen değeri 10 saniyedir.

Ölüm Aralığı (Dead Interval)

Komşu yönlendirici ile bağlantının koptuğunu belirten süredir. Aksi konfigüre edilmedikçe Hello aralığının 4 katı süredir.

DR IP Adresi

Mevcut DR IP adresidir.

BDR IP Adresi

Mevcut BDR IP adresidir.

Komşu Yönlendirici ID’leri

Ölüm aralığı içerisinde öğrenilen, 2-yol iletişim kurulan ve komşuluk tablosunda bulunan yönlendiricilerin IP adresleridir.

Kimlik Doğrulama Bilgisi (Authentication Information)

Kimlik doğrulama tipi ve bilgisini içerir.

Güdük Alan Bayrağı (Stub Area Flag)

Güdük alandaki bütün yönlendiricilerde bu alan kullanılmalıdır.

Opsiyonlar

Komşuluk ilişkisi kurulurken kullanılan OSPF opsiyonlarıdır.

Hangi tip gönderileceği belirtmektedir.

LSA ve

mesajlarının alınacağını

Tablo 12.1 (Hello Protokol Alanları) OSPF koşan yönlendiriciler, 7 adımda yakınlarında yönlendiricilerle komşuluk kurarlar. Bu adımlar şunlardır;

bulunan

diğer

OSPF

koşan

Down OSPF koşan arayüzde herhangi bir Hello paketinin alınmadığı bir durumdur. Yeni yönlendiricilerin OSPF koşan arayüzleri down durumdadır ve bu yönlendiriciler ağdaki varlığını duyurmak için 224.0.0.5 (AllSPFRouters) multicast adresini kullanarak Hello paketi gönderirler. Bu mesajda DR ve BDR IP adresleri 0.0.0.0’dır. Init Diğer yönlendiricilerden gönderdikleri Hello mesajına cevap bekleme adımıdır. Cevap alma süresi de Hello protokolde belirtilen ölüm aralığı kadardır (Hello aralığının 4 katı kadar). Eğer diğer yönlendiricilerden de cevap alırlarsa, aldıkları Hello mesajlarındaki DR ve BDR adreslerini alırlar.

225

Two-way Diğer yönlendiricilerin gönderdikleri Hello mesajlarının Komşu Yönlendirici ID alanında kendi IP adreslerini gördükleri durumdur. Artık iki yönlendirici arasında komşuluk bağı kurulmuş demektir. Exstart Karşılıklı iki yönlendiricinin yakın komşuluk ilişkisini oluşturmak üzere Veritabanı Belirleyici (Database Description-DD) paket alışverişinin yapıldığı adımdır. Bu adımda iki yönlendiriciden birinin master diğerinin slave seçimi yapılır. IP adresi daha yüksek olan master diğeri slave seçilmektedir. Burada amaç sadece iletişimi başlatacak yönlendiriciyi belirlemektir. Bir yönlendiricinin diğerine üstünlüğü sözkonusu değildir. Exchange Yönlendiricilerin DDP ve LSR mesajlarıyle yönlendirme bilgi alışverişi yaptıkları adımdır. Loading Exchange adımında elde edilen yeni rotalar hakkında bilgileri LSR ve LSU mesajları ile ilgili yönlendiricilerden alma adımıdır. Full Yakın komşuluktaki yönlendirici ile yapılan LSR mesaj alışverişi yardımıyla yönlendirme bilgilerinin senkron hale getirilmesi durumudur.

Hello paketleri multicast yapılır ve cevap beklenir. Init

Down

Yönlendirme bilgilerindeki değişiklikler güncellenir.

Loading

Hello paketlerine cevap alınmış ve Komşu ID’ler de paketi gönderen yönlendirici kendi IP adresi görmüştür.

2 Way Hello paketi gönderen yönlendirici cevap aldığı bütün yönlendiricilerin IP adreslerini Komşu Veritabanına kaydeder. OSPF Link tipi broadcast multi-access ise DR ve BDR seçimi yapılacaktır.

Full

Yönlendiricilerin öncelik değerlerini karşılaştır ve en yüksek öncelikli yönlendiriciyi DR, ikinciyi BDR seç.

Exchange

Komşuluk bağı kurulmuş olan yönlendiricilerle yönlendirme bilgileri paylaşılır.

Exstart Master/Slave ilişkisi kurulmuş olan yönlendiricilerle link durum bilgileri paylaşılır.

Öncelik değerleri eşitse; IP adreslerini karşılaştır ve en yüksek IP adresli yönlendiriciyi DR, ikinciyi BDR seç.

Şekil 12.1 (OSPF Komşuluk Oluşum Durumları) Yukarıdaki açıklamalar ve grafik, OSPF koşan yönlendiricilerin nasıl komşuluk ilişkisi kurduğunu açıklamaktadır. Şekil 12.1’de 2 Way durumundan Exstart durumuna geçişte ara bir proses tanımlanmıştır. Daha önce belirtildiği gibi 2 Way adımında Hello protokolü ile mesajlaşan yönlendiriciler komşuluk ilişkisi kurmaktadır. Bu adımdan sonra OSPF yönlendiricileri, veritabanlarında tuttukları bilgileri diğer OSPF yönlendiricilerle paylaşacaklardır. OSPF trafiği, yönlendiricilerin OSPF koşan arayüzlerinin link tiplerine göre farklı şekilde yönetilmektedir. OSPF Ağ Topolojileri bölümünde belirtildiği gibi bazı link tiplerinde DR ve BDR seçimi gerekmektedir. Bunlar içinde de bazıları dinamik olarak bazıları manuel konfigürasyonla belirlenmektedir. Atanmış yönlendirici (Designated Router-DR) , Hello protokolüyle belirlenmekte olup; bulunduğu segmentteki OSPF yönlendiricilerin topoloji tablolarının senkron olmasından sorumludur. Yedek atanmış yönlendirici (Backup Designated Router-BDR), Hello protokolüyle

226

belirlenmektedir. Atanmış yönlendiricide oluşacak herhangi bir problemden dolayı yönlendiricinin çalışmama durumunda BDR, görevi devralarak kendini atanmış yönlendirici ilan eder. DR ve BDR seçimleri ortamdaki OSPF yönlendiricilerin önce ip ospf priority (öncelik değeri) komutuyla verilen en yüksek öncelik değerine göre yapılmaktadır. Öncelik değeri 0 (sıfır) ile 255 arasında değişmektedir. Yüksek öncelik değeri DR ve BDR seçimi için daha yüksek şans demektir. Eğer bütün OSPF yönlendiricilerin öncelik değerleri eşitse; bu seçim en yüksek IP adreslerine göre yapılmaktadır. Ethernet, Token Ring ve FDDI ağlar gibi broadcast multiaccess ağlarda OSPF trafiği ciddi bir yoğunluk oluşturacağı için DR ve BDR seçimi şarttır. Bu tip ağlarda dinamik seçim yapılabileceği gibi uygun konfigürasyonla manuel DR ve BDR seçimi yapılabilmektedir. OSPF trafiğini yönlendiren DR ve BDR yönlendiricilerin CPU yükü bu trafikten dolayı artmaktadır. Dinamik seçimde ortamdaki yönlendiricilerin CPU gücü en zayıf olanı seçilebilmektedir. Bu da bu yönlendiricinin bulunduğu lokal ağa olan hizmetini olumsuz yönde etkilemektedir. Dolayısıyla ağda CPU gücü en iyi olan yönlendiricinin öncelik değeri ip ospf priority komutuyla 255 yapılarak DR olması kesinleştirilir. BDR için daha düşük değer, diğerleri için de daha düşük değer ya da sıfır verilebilir. Eğer yönlendiriciye sıfır öncelik değeri verildiğinde, komşu yönlendiricilerde show ip ospf neighbor komutuyla yönlendiriciler görüntülenirse öncelik değeri sıfır olan yönlendirici DROther olarak görünecektir. Yani bu yönlendirici hiçbir zaman için DR veya BDR seçilemez demektir. Frame Relay, X.25 ve ATM gibi broadcast iletişimi desteklemeyen teknolojiler için de uygun topolojiler oluşturularak manuel konfigürasyon ile DR ve BDR seçimi yönlendirilebilir. Bu konu daha detaylı konfigürasyon bilgisi aktarılacaktır. 12.3.2. OSPF Yönlendirme Tablosu Oluşumu OSPF protokolü koşan yönlendiriciler 3 farklı veritabanı oluştururlar. Bunlar; ¾ ¾ ¾

Komşuluk Veritabanı (Adjacency Database) Topolojik Veritabanı (Topology Database) Yönlendirme Veritabanı (Routing Database)

Yukarıda anlatılan adımlardan da anlaşıldığı gibi 2 way adımında yönlendiriciler Hello protokolünün yardımıyla aynı ortamdaki yönlendiricilerle komşuluk ilişkisi kurarak bir veritabanı oluşturmaktadırlar. Link türüne göre yönlendiriciler DR ve BDR seçimini de gerçekleştirmektedir. Bu veritabanında bütün komşu yönlendiricilerin IP adresleri ve DR, BDR IP adresleri bulunmaktadır. Exstart adımıyla birlikte komşuluk veritabanında yeralan ve komşuluk ilişkisi kurulmuş yönlendiricileriyle link bilgilerini LSA mesajlarıyla paylaşarak topolojik veritabanı da oluştururlar. Böylece ortamdaki bütün yönlendiriciler aynı topolojik bilgiye sahip olmaktadır. Ağda oluşacak herhangi bir değişikliği birbirlerine LSU mesajları ile iletirler. Noktadan-noktaya ağ türlerinde yönlendiriciler LSU mesajlarını 224.0.0.5 (AllSPFRouters) multicast IP adresi ile iletirler. İki uçta sadece birer tane yönlendirici olacağı için bu multicast adresi bütün SPF yönlendiriciler olarak tanımlanmıştır. Broadcast multiaccess ağ ortamında OSPF koşan yönlendiriciler LSU mesajlarını 224.0.0.6 (AllDR) multicast IP adresi ile ortamdaki DR ve BDR yönlendiricilere iletirler. Daha önce de belirtildiği gibi bu tip ağlarda OSPF mesajlarını DR ve BDR dağıtmaktadır. DR ve BDR yönlendiriciler aldıkları LSU mesajlarını diğer bütün OSPF yönlendiricilerine 224.0.0.5 multicast adresiyle gönderirler. Ağdaki bütün OSPF yönlendiriciler full durumuna geldiğinde bütün yönlendiriciler de aynı topolojik ağ bilgisi mevcuttur. Aslında topolojik veritabanı metrik uzaklıkları hesaplanmamış rotalardan oluşan yönlendirme veritabanı olarak da düşünülebilir. Ağdaki yönlendiriciler, ağdaki konumlarına göre edindikleri bu topolojik veritabanını kullanarak

227

Dijkstra algoritması yardımıyla yönlendirme veritabanını bir diğer adıyla SPF ağacını oluştururlar. Yönlendirme veritabanı, topolojik veritabanının tam tersine her yönlendirici için farklıdır. Çünkü her bir yönlendirici, veritabanındaki segmentlere farklı metrik uzaklıktadır. OSPF metrik olarak cost’u kullanır. SPF ağacını oluşturan bütün OSPF arayüzlerin cost değeri vardır. Yönlendirme veritabanındaki subnetlere erişimin metrik değeri, bütün rotadaki linklerin cost değerlerinin toplamıdır. En küçük cost değerine sahip rota, en iyi rotadır. Üreticiler farklı şekillerde cost değerini hesaplamaktadırlar. Cisco OSPF cost değerini 108/bantgenişliği (bantgenişliği, yönlendiricinin arayüzünde konfigüre edilen değerdir.) formülüyle hesaplamaktadır. Farklı üreticilere ait yönlendiricilerinin birbirleriyle OSPF konuşabilmesi için aralarındaki linkin aynı cost değerine sahip olması gerekmektedir. Cisco yönlendiricilerde gerektiğinde ip ospf cost (değer) komutuyla bu değer değiştirilebilmektedir. Cost değeri 1 ile 65535 arasında değişebilmektedir. Yönlendiriciler, aynı metrik uzaklığa sahip birden fazla rotayı yönlendirme tablosunda bulundurabilirler. Cisco yönlendiriciler 6 adet aynı metrik uzaklığa sahip rotayı yönlendirme tablosunda bulundurabilirler. Bu rotalar hem yük dağılımı (load-balancing) hem de yedek (redundant) rota olarak kullanılmaktadır. Seri hatların sıkça düşüp kalktığı bilinmektedir. Dolasıyla ağ topolojisindeki bu değişiklikler yeni LSA mesajlarının üretilmesine neden olmakta ve ağ trafiğini etkilemektedir. OSPF protokolü yeniden SPF ağacının oluşturulmasını belli bir süre geciktirmek için OSPF zamanlamalarını (timer) kullanmaktadır. Böylece ihtiyaç halinde yönlendirme veritabanındaki aynı metrik uzaklığa sahip diğer rotalar kullanılabilmektedir. 12.4. OSPF KONFİGÜRASYONU Yönlendirici sayısının çok olduğu ağlarda oluşacak OSPF trafiği ağ performansını olumsuz etkilemektedir. Büyük ağı küçük parçalara bölerek trafiği azaltmak mümkündür. OSPF alan kavramı bu noktada ortaya çıkmaktadır. Bir ağda bir OSPF alanı olabileceği gibi birden fazla alan da olabilir. Fakat çoklu alan OSPF konfigürasyonu bu kitabın amacını aşmaktadır. Tek alandaki bütün yönlendiriciler iç yönlendiricidir (internal router). İç yönlendiricide OSPF konfigürasyonu için aşağıdaki konfigürasyonlar kesinlikle yapılmalıdır. 9

OSPF yönlendirme protokolü öngörülen şekliyle yönlendiricide aktif değildir;aktif edilmesi gerekmektedir.

OSPF protokolü, yönlendiricide router ospf (proses no) konfigürasyon komutuyla aktif edilmektedir. Proses numarası, bu konfigürasyonun yapıldığı yönlendiricide geçerlidir. Aynı alanda bulunan diğer yönlendiricilerde aynı numaranın olması gerekmemektedir. Proses numarası, yönlendiricide OSPF algoritmasının çalışarak yönlendirme tablosu oluşturması için gerekmektedir. Aynı yönlendiricide farklı proses numaraları kullanılarak birden fazla tablo oluşturulabilir. Fakat bu çok daha karmaşık konfigürasyon gerektirdiği için tavsiye edilmemektedir. 9

Yönlendiricinin hangi arayüzlerinin OSPF güncellemelerini gönderip alacağının belirlenmesi ve konfigüre edilmesi gerekmektedir. OSPF çalıştırılacak arayüzlerin hangi OSPF alanında bulunacağının da belirtilmesi gerekmektedir.

Her arayüzde bu bilgilerin alınıp verilmesi gerekli değildir. Örneğin dialup bağlantı ile uzak ofise bağlanılan arayüzde OSPF protokolünün çalıştırılmasına gerek yoktur. Çünkü her OSPF güncelleme mesajında bağlantı kurulacaktır. Uzak ofiste en fazla tek bir subnet olduğu

228

için ekonomik olması açısından dialup erişim sağlanmıştır. Bu arayüzde OSPF aktif edilirse bu bağlantı ekonomik olmaktan çıkar. OSPF protokolü, network (ağ-adresi) (wildcard maske) area (alan-no) yönlendirici modu komutuyla hangi arayüzde OSPF protokolünün koşacağı belirlenmektedir. RIP ve IGRP protokollerinde aynı komut kullanılmaktadır. Fakat bu yönlendirme protokollerinde kullanılan network komutunda belirtilen ağ adresleri sınıf tabanlıdır (class-level). OSPF protokolündeki network komutunda kullanılan wildcard maskesi farklı şekilde kullanılarak arayüzün IP adresi de ifade edilebilmektedir. Bu komutta kullanılan wildcard maske ile Erişim Kontrol Listelerinde kullanılan wildcard maskesi ile aynıdır. Detay bilgi için Erişim Kontrol Listeleri ünitesini inceleyebilirsiniz. Aynı Erişim Kontrol Listelerindeki konfigürasyon gibi yukarıdan aşağıya doğru konfigürasyon yaparken genel bir tanım yapmadan önce daha dar tanımlar yapılmalıdır. Ayrıca tek alan OSPF konfigürasyonunda her zaman için Alan 0 (Sıfır) konfigüre edilmelidir. Çünkü Alan 0, omurga alan olarak düşünülmektedir ve çoklu alan OSPF yapılandırılmalarında diğer bütün alanlar Alan 0 ile birbirine bağlanacaktır. Örnekler: Router(config-router)#network 0.0.0.0 255.255.255.255 area 0 Yönlendiricinin bütün arayüzlerinde OSPF protokolü çalışacaktır. Router(config-router)#network 10.0.0.0 0.255.255.255 area 0 Yönlendiricinin 10.0.0.0 subnetindeki bütün arayüzlerinde OSPF protokolü çalışacaktır. Router(config-router)#network 192.168.1.0 0.0.0.255 area 0 Yönlendiricinin 192.168.1.0 subnetindeki bütün arayüzlerinde OSPF protokolü çalışacaktır. Router(config-router)#network 192.168.8.1 0.0.0.0 area 0 Router(config-router)#network 172.16.29.254 0.0.0.0 area 0 Yönlendiricinin 192.168.8.1 ve 172.16.29.254 IP adresli arayüzlerinde OSPF protokolü çalışacaktır. 9

Yönlendiricinin OSPF etki alanında kendini ifade edebilmesi için kimliğinin tanımlanması gerekmektedir.

OSPF yönlendiricisi, LSA mesajlarıyla ağdaki diğer yönlendiricilerle paylaştığı yönlendirme bilgilerinin sağlıklı bir biçimde OSPF veritabanında tutulabilmesi için bu mesajların kaynağının belli olması gerekmektedir. Yani bu mesajı gönderen yönlendiricinin kimliğinin bu veritabanında kaydedilmesi gerekmektedir. Bu kimliğin IP adresi olması kaçınılmazdır. Bu IP adresi manuel belirlenebildiği gibi dinamik olarak seçimi yönlendiriciye bırakılabilir. Cisco yönlendiricilerde yönlendirici kimliği olarak loopback arayüzünün IP adresi kullanılmaktadır. Aslında loopback arayüzü gerçekte olmayan sanal bir arayüzdür ve hiçbir zaman için çalışmama alternatifi yoktur. Dolayısıyla her zaman için OSPF mesaj alışverişi yapılabilmektedir. Halbuki yönlendiricinin herhangi bir arayüzü yönlendiricinin kimliği olarak kullanılmış olsa bu arayüz çalışmadığı zaman diğer arayüzlerden OSPF trafiği gönderilemeyecektir. Yönlendiricilerde loopback IP adresi interface loopback (arayüz-no) konfigürasyon komutu ve ip address (ip-adresi) (subnet-maskesi)

229

arayüz komutlarıyla verilmektedir. Ağdaki yönlendiricilerin loopback adreslerine verilen IP adresleri daha önce bahsedilen network komutuyla belirtilen subnetlerde kullanılmalıdır. Böylece yönlendiricilerin loopback adreslerine de ping atılabilir. Fakat ağda IP adres sıkıntısı varsa bu loopback adresleri yönlendirme tablolarında bulunmaması için network komutuyla konfigüre edilmez ve sadece yönlendiricinin kimliği için kullanılır. Eğer yönlendiricinin loopback adresi konfigüre edilmezse; yönlendiricinin kimliği, IP adresi en yüksek olan arayüzün IP adresi olur. Daha önce 5 farklı OSPF ağ topolojinin var olduğundan bahsedilmişti. Bu topolojilerin broadcast, non-broadcast multiaccess (NBMA), point-to-point, point-to-multipoint ve virtual link olduğunu hatırlayalım. Ethernet, Token-Ring, FDDI teknolojilerinin kullanıldığı broadcast ağ topolojilerinde yukarıda anlatılan komutlar yeterlidir. Bu teknolojilerde DR ve BDR seçimi yapılacağı için gerektiğinde ip ospf priority komutuyla bu seçim manipule edilebilir. Point-topoint ve point-to-multipoint topolojiler benzer yapıya sahip olduklarından buraya kadar anlatılan OSPF komutları yeterli olacaktır. Virtual-link topolojilerde ise birden fazla OSPF alanı içerdiğinden bu kitabın içeriğini aşmaktadır. Yaygın olarak Frame Relay teknolojisinin kullanıldığı non-broadcast multiaccess topolojilerin konfigürasyonu bir sonraki bölümde aktarılacaktır. Yukarıda anlatılan zorunlu konfigürasyonların yanında ihtiyaç halinde aşağıdaki komutlar kullanılarak opsiyonel konfigürasyon da yapılabilir. Daha önce de bahsedildiği üzere OSPF protokolü metrik olarak cost değerini kullanmaktadır. Bu değer Cisco yönlendiricilerde 108/bantgenişliği (bantgenişliği, yönlendiricinin arayüzünde konfigüre edilen değerdir.) formülüyle hesaplanmaktadır. 108 (bps) değeri, referans bantgenişliğidir. Bu formülle bazı link tiplerinin öngörülen cost değerlerini inceleyelim. LİNK TİPİ

ÖNGÖRÜLEN COST

Ethernet (10 Mbps)

10

Token Ring (16 Mbps)

6

E1 (2048 Kbps)

48

Seri Link (56 Kbps)

1785

Tablo 12.2 (Link Tiplerine Göre Öngörülen Cost Değerleri) Eğer farklı üreticilere ait yönlendiricileri OSPF protokolü ile iletişim kurdurmanız gerekiyorsa, herhangi bir sebepten dolayı öngörüldüğü şekliyle hesaplanan metrik değerine göre trafiğin arzu etmediğiniz rotadan yönlendirilmesini farklı bir rotayla değiştirmeniz gerekiyorsa ve başka geçerli bir sebebiniz varsa rotaların cost değerini değiştirebilirsiniz. Yönlendirici tarafından otomatik olarak öngörülen cost değerlerini hesaplamak için kullanılan formül değiştirilerek bu değerler manipule edilebilir. ospf auto-cost reference-bandwitdh (referans-bantgenişliği) yönlendirici modu komutunda belirtilecek olan referans bantgenişliği değeri ile formüldeki 108 değeri değiştirilmektedir. Bu değer 1 ile 4.294.967 Mbps arasında olabilir. Öngörülen değeri ise 100 Mbps’dir.

230

Yönlendiricilerin bazı arayüzlerinin öngörülen cost değeri de değiştirmek gerektiğinde ip ospf cost (değer) arayüz komutu kullanılmaktadır. Komuttaki değer 1 ile 65.535 arasında değişmektedir. Bu komut bir önceki komuttan daha baskın olup buradaki değer geçerlidir. DR ve BDR seçiminin gerektiği ağ topolojilerinde CPU gücü yüksek olan yönlendiricilerin seçimi ağ performansını olumlu etkilemektedir. Bu seçimin manipülasyonu da ip ospf priority (değer) komutuyla sağlanmaktadır. Bu komuttaki değer 1 ile 255 arasında değişmektedir. Bütün Cisco yönlendiricilerde öngörülen öncelik değeri 1’dir. Eğer yönlendirici de öncelik değeri 0 (sıfır) konfigüre edilmişse; bu yönlendiricinin hiçbir şekilde DR ve BDR seçilme şansı yoktur. 12.5. NBMA TİPİ AĞDA OSPF KONFİGÜRASYONU Daha önce de belirtildiği gibi broadcast iletişimi desteklemeyen ve çoklu iletişim yapılabilen teknolojiler arasında Frame Relay, X.25 ve ATM teknolojileri bulunmaktadır. Bu teknolojilerde OSPF yönlendirme protokolünün nasıl çalışacağı önemli bir problemdir. Çünkü OSPF, ağ topoloji bilgilerinin alışverişi ve OSPF koşan yönlendiricilerle komşuluk kurulmasını multicast adresleri kullanarak yapmaktadır. Bu problem kullanılan teknoloji ve ağ dizaynına bağlı olarak değişmektedir. X.25 eski teknoloji olduğu için ATM teknolojisi de çok yaygın kullanılmadığı için bu konu Frame Relay teknolojisi dikkate alınarak incelenecektir. Frame Relay ağı, 3 farklı topolojiye sahip olabilir. Bunlar; ¾

¾ ¾

Tam Karmaşık (Full Mesh) En pahalı olan ve ağdaki bütün yönlendiricilerin birbirine bağlı olduğu topolojidir. Bu çözümde yönlendiriciler arasındaki linkler hem yedekleme hem de yük dağılımı için kullanılabilmektedir. Yarı Karmaşık (Partial Mesh) Ağdaki bir grup yönlendiricilerin birbirlerine bağlı olduğu diğerlerinin bu grup yönlendiricilerden birinin aracılığıyla erişebildiği topolojidir. Yıldız (Star, Hub & Spoke) En ucuz olan ve merkezdeki bir yönlendiriciye ağdaki diğer bütün yönlendiricilerin bağlı olduğu topolojidir.

Yukarıda bahsedilen topolojiler fiziksel topolojiler değildir. Frame Relay teknolojisinde, bütün uçlar fiziksel olarak Telekom tarafındaki anahtarlara bağlanmaktadır. Yönlendiriciler arasındaki linkler sanal devrelerdir ve her bir sanal devrenin ayrı bir maliyeti vardır. Dolayısıyla tam karmaşık bir topolojide ağdaki her iki yönlendiricinin bağlantısı için bir sanal devre tanımlanmalıdır. Yarı karmaşık topolojide birbirine bağlı olan bir grup yönlendiricinin her ikisi için bir sanal devre tanımlanmalıdır. Diğerleri için de bağlı oldukları yönlendiricilerle sanal devre tanımlanmalıdır. Son olarak yıldız topolojide merkezdeki yönlendirici ile uç yönlendiricilerin her biri için sanal devre tanımlanmalıdır. OSPF protokolü, yönlendiricilerin NBMA ağ teknolojisinin çalıştığı arayüzü, 4 farklı ağ tipinde konfigüre edilerek çalıştırılabilmektedir. Bu ağ tipleri şunlardır; 9 9 9 9

Broadcast Non-broadcast Point-to-point Point-to-multipoint

231

Bu konfigürasyon ip ospf network (ağ tipi) arayüz komutuyla yapılmaktadır. Komutta ağ tipi bölümündeki alternatifler; broadcast, nonbroadcast, point-to-point, point-to-multipoint, point-to-multipoint non-broadcast’dir. 9

Broadcast OSPF protokolünün broadcast yapıda NBMA ağ üzerinde çalışabilmesi için ağdaki yönlendiricilerin tam karmaşık topolojide yapılanması gerekmektedir. Şekil 12.2’de görüldüğü gibi ağdaki bütün yönlendiriciler sanal devre ile birbirlerine bağlanmışlardır. Ağda DR ve BDR seçimi gerçekleştikten sonra OSPF trafiği broadcast ağdaymış gibi iletilmektedir. Bütün yönlendiriciler OSPF trafiğini öncelikle DR veya BDR yönlendiriciye iletirler. Bu yönlendiriciler de aldıkları bütün bilgileri ağdaki diğer yönlendiricilere gönderirler. Bu yapıdaki ağların en önemli zayıf noktası, DR ve BDR olmayan yönlendiriciler ile (DROther diye adlandırılırlar) DR arasındaki sanal devrenin kopmasıdır. Örneğin D yönlendiricisi ile C arasındaki sanal devre kopması durumunda D’nin topoloji veritabanındaki bilgiler DR aracılığıyla diğer yönlendiricilere aktarılamayacaktır. Böylece bu veritabanında olup da diğer yönlendiricilerin veritabanında olmayan ağlara ağdaki bütün yönlendiriciler yönlendirme yapamayacaklardır. BDR

A

D

DR

B

C

Şekil 12.2 (NBMA ağda OSPF protokolünün broadcast yapılanması) Istanbul(config)#interface Serial0 Istanbul(config-if)#ip address 192.168.10.1 255.255.255.0 Istanbul(config-if)#encapsulation frame-relay Istanbul(config-if)#ip ospf network broadcast Istanbul(config)#router ospf 100 Istanbul(config-router)#network 192.168.10.0 0.0.0.255 area 0 Ankara(config)#interface Serial0 Ankara(config-if)#ip address 192.168.10.2 255.255.255.0 Ankara(config-if)#encapsulation frame-relay Ankara(config-if)#ip ospf network broadcast Ankara(config)#router ospf 1 Ankara(config-router)#network 192.168.10.0 0.0.0.255 area 0 Adana(config)#interface Serial0 Adana(config-if)#ip address 192.168.10.3 255.255.255.0 Adana(config-if)#encapsulation frame-relay Adana(config-if)#ip ospf network broadcast Adana(config)#router ospf 20 Adana(config-router)#network 192.168.10.0 0.0.0.255 area 0

232

9

Non-broadcast Non-broadcast ağ tipinde broadcast ve multicast iletişim desteklenmez. OSPF mesajları unicast iletişim ile aktarıldığından hem DR ve BDR seçimi manipule edilmeli hem de bütün yönlendiriciler DR ve BDR yönlendiricilerine tanıtılmalıdır. Ayrıca ağ tam karmaşık yapıda olmalıdır. Yönlendiriciler manuel olarak konfigüre edileceği için ağdaki hangi yönlendiricinin DR ve BDR olacağına karar verilmelidir. Yönlendiriciler, DR ve BDR yönlendiricileri bilecekleri için de OSPF trafiği multicast yerine unicast olarak işleyecektir. Böylece yönlendiriciler OSPF güncelleme mesajlarını DR ve BDR’a gönderirler; DR ve BDR yönlendiricileri de ağdaki bütün diğer yönlendiricilere bu mesajları tek tek gönderirler. Ağdaki yönlendiriciler

neighbor (IP-adresi) [priority (öncelik-değeri)] [poll-interval (saniye)] [cost (değer)] yönlendirici modu komutuyla tanıtılmaktadır. IP adresi olarak komşu yönlendiricilerin yönlendirici kimliği olan IP adresi kullanılmalıdır. Komutta belirtilen öncelik değeri öngörüldüğü şekliyle 0 (sıfır) dır. Bu değer yönlendiricilerin DR ve BDR seçiminde kullanılmaktadır. Ayrıca poll-interval parametresinde belirtilen süre, hello paketlerinin gönderilme periyodundan daha uzun olmalıdır. Ağdaki bir yönlendirici, etrafındaki komşuları normal olarak çalıştığında hello paketleri ile bu yönlendiricilerin çalıştığını öğrenmektedir. Komşuların birinden ölüm aralığı (dead-interval) süresince haber alamadığı zaman da tekrar aktif duruma geçip geçmediğini öğrenmek için hello paketlerini göndermesi gerekmektedir. Komutta poll-interval parametresinde belirtilen süre bu durum için kullanılmaktadır ve bu süre hello paketlerinin normal gönderilme sürelerinden daha uzundur. Bu süre 120 saniye olarak öngörülmektedir. Komuttaki cost parametresi non-broadcast ağ tipinde değil point-to-multipoint ağ tipinde kullanılmaktadır. Istanbul(config)#interface Serial0 Istanbul(config-if)#ip address 192.168.10.1 255.255.255.0 Istanbul(config-if)#encapsulation frame-relay Istanbul(config-if)#ip ospf network non-broadcast Istanbul(config)#router ospf 100 Istanbul(config-router)#network 192.168.10.0 0.0.0.255 area 0 Istanbul(config-router)#neighbor 192.168.10.2 priority 1 Istanbul(config-router)#neighbor 192.168.10.3 priority 1 Ankara(config)#interface Serial0 Ankara(config-if)#ip address 192.168.10.2 255.255.255.0 Ankara(config-if)#encapsulation frame-relay Ankara(config-if)#ip ospf network non-broadcast Ankara(config)#router ospf 1 Ankara(config-router)#network 192.168.10.0 0.0.0.255 area 0 Ankara(config-router)#neighbor 192.168.10.1 priority 255 Ankara(config-router)#neighbor 192.168.10.3 priority 1 Adana(config)#interface Serial0 Adana(config-if)#ip address 192.168.10.3 255.255.255.0 Adana(config-if)#encapsulation frame-relay Adana(config-if)#ip ospf network non-broadcast Adana(config)#router ospf 20 Adana(config-router)#network 192.168.10.0 0.0.0.255 area 0

233

Adana(config-router)#neighbor 192.168.10.1 priority 255 Adana(config-router)#neighbor 192.168.10.2 priority 1 9

Point-to-point Tek bir fiziksel arayüzde sanal altarayüzler oluşturarak komşu OSPF yönlendiricilerle noktadan noktaya bağlantı kurulmaktadır. Noktadan noktaya bağlantı olduğu için aynı seri bağlantılarda olduğu gibi DR ve BDR seçimine gerek duyulmamaktadır. Bu şekilde iletişim kuran OSPF yönlendiriciler çok daha hızlı veritabanlarını senkron edebilmektedirler. Diğer uçtaki yönlendirici bilgisini Inverse ARP mesajı ile veya manüel olarak yapılan Frame Relay eşleştirmesi (frame-relay mapping) ile öğrenebilmektedir. Tam karmaşık yapıya ihtiyaç olmadığı gibi altarayüzlerden birinin çalışmaması aynı fiziksel arayüzdeki diğer altarayüzlerin OSPF trafiğini etkilememektedir. Bu ağ tipindeki zayıf nokta aynı LSA güncelleme mesajının aynı fiziksel arayüzden fakat farklı sanal altarayüzlerden defalarca gönderilmesidir. Bu da bantgenişliğinin etkili bir şekilde kullanılmamasına sebep olmaktadır. Ayrıca her bir altarayüz farklı bir IP subneti kullanmaktadır. Dolayısıyla IP adreslemede sıkıntıya sebep olmaktadır. Fiziksel arayüze IP adresi verilmemesi tavsiye edilmektedir.

Istanbul(config)#interface Serial0 Istanbul(config-if)#no ip address Istanbul(config-if)#encapsulation frame-relay Istanbul(config)#interface Serial0.1 point-to-point Istanbul(config-subif)#ip address 192.168.10.1 255.255.255.0 Istanbul(config-subif)#frame-relay interface-dlci 17 Istanbul(config)#interface Serial0.2 point-to-point Istanbul(config-subif)#ip address 192.168.20.1 255.255.255.0 Istanbul(config-subif)#frame-relay interface-dlci 18 Istanbul(config)#router ospf 100 Istanbul(config-router)#network 192.168.0.0 0.0.255.255 area 0 Ankara(config)#interface Serial0 Ankara(config-if)#no ip address Ankara(config-if)#encapsulation frame-relay Ankara(config)#interface Serial0.1 point-to-point Ankara(config-subif)#ip address 192.168.10.2 255.255.255.0 Ankara(config-subif)#frame-relay interface-dlci 16 Ankara(config)#interface Serial0.2 point-to-point Ankara(config-subif)#ip address 192.168.30.1 255.255.255.0 Ankara(config-subif)#frame-relay interface-dlci 18 Ankara(config)#router ospf 20 Ankara(config-router)#network 192.168.0.0 0.0.255.255 area 0 Izmir(config)#interface Serial0 Izmir(config-if)#no ip address Izmir(config-if)#encapsulation frame-relay Izmir(config)#interface Serial0.1 point-to-point Izmir(config-subif)#ip address 192.168.20.2 255.255.255.0 Izmir(config-subif)#frame-relay interface-dlci 16 Izmir(config)#interface Serial0.2 point-to-point Izmir(config-subif)#ip address 192.168.30.2 255.255.255.0 Izmir(config-subif)#frame-relay interface-dlci 17 Izmir(config)#router ospf 110

234

Izmir(config-router)#network 192.168.0.0 0.0.255.255 area 0 NOT: Yukarıdaki örnekte ip ospf network point-to-point komutu kullanılmadı. Çünkü altarayüzlerde bu komut zaten öngörüldüğü şekliyle konfigüre edildiği için tekrar bu konfigürasyonun yapılmasına gerek yoktur. 9

Point-to-multipoint Merkezdeki hub yönlendiricinin uçlardaki yönlendiricilere direkt bağlı olduğu ve tek bir IP subnetinin kullanıldığı bir yapıdır. Noktadan noktaya iletişim gibi düşünüldüğünden DR ve BDR seçimine gerek duyulmaz. Dolayısıyla ip ospf priority komutuna da ihtiyaç olmadığı için kullanılmaz. Gönderilecek paketler bütün uç yönlendiricilere gönderileceğinden DLCI-IP tablosunun da bilinmesi gerekmektedir. Bunun için frame-relay map ip (IP adresi) (dlci no) broadcast

arayüz komutu kullanılmaktadır.

A

D

B

C

Şekil 12.3 (NBMA ağda OSPF protokolünün point-to-multipoint yapılanması) Istanbul(config)#interface Serial0 Istanbul(config-if)#encapsulation frame-relay Istanbul(config-if)#ip address 192.168.10.2 255.255.255.0 Istanbul(config-if)#ip ospf network point-to-multipoint broadcast Istanbul(config-if)#frame-relay map ip 192.168.10.1 16 broadcast Istanbul(config)#router ospf 100 Istanbul(config-router)#network 192.168.0.0 0.0.255.255 area 0 Ankara(config)#interface Serial0 Ankara(config-if)#encapsulation frame-relay Ankara(config-if)#ip address 192.168.10.1 255.255.255.0 Ankara(config-if)#ip ospf network point-to-multipoint broadcast Ankara(config-if)#frame-relay map ip 192.168.10.2 17 broadcast Ankara(config-if)#frame-relay map ip 192.168.10.3 18 broadcast Ankara(config)#router ospf 100 Ankara(config-router)#network 192.168.0.0 0.0.255.255 area 0 Izmir(config)#interface Serial0 Izmir(config-if)#encapsulation frame-relay Izmir(config-if)#ip address 192.168.10.3 255.255.255.0 Izmir(config-if)#ip ospf network point-to-multipoint broadcast Izmir(config-if)#frame-relay map ip 192.168.10.1 16 broadcast Izmir(config)#router ospf 30 Izmir(config-router)#network 192.168.0.0 0.0.255.255 area 0

235

NOT: 1- Yukarıdaki örnekte ip ospf network point-to-multipoint komutundaki broadcast parametresi komutun öngörüsünde bulunmaktadır. Yani bu parametrenin yazılmasına gerek yoktur. 2- Örnekteki ip ospf network point-to-multipoint komutundaki broadcast parametresi yerine non-broadcast yazıldığında yönlendiricilere komşuları neighbor komutuyla birbirlerine tanıtılmalıdır. 3- Örnekteki frame-relay map ip 192.168.10.1 16 komutundaki broadcast parametresi komutta belirtilen DLCI-IP adres eşleştirmesindeki IP adrese broadcast gönderebilmeyi sağlamaktadır. Tablo 12.3’de yukarıda anlatılan bütün topolojilerin özetini inceleyebilirsiniz. Broadcast

NBMA

Point-to-Point

Point-toMultipoint broadcast

Point-toMultipoint nonbroadcast

Adresleme

Multicast

Unicast

Multicast

Multicast

Unicast

DR/BDR Var mı?

Var

Manuel seçim var

Yok

Yok

Yok

Manuel Komşuluk Konfigürasyonu

Hayır

Evet

Hayır

Hayır

Evet

Hello Mesajı Zaman Aralığı

10 sn

30 sn

10 sn

30 sn

30 sn

Ölüm Aralığı

40 sn

120 sn

40 sn

120 sn

120 sn

Desteklenen Topoloji

Tam Karmaşık

Tam Karmaşık

Yıldız ve Yarı Parçalı

Yıldız ve Yarı Parçalı

Yıldız ve Yarı Parçalı

Subnet Sayısı

1

1

Her link için 1 adet

1

1

Tablo 12.3 (Topoloji Özellikleri) 12.6. OSPF KONFİGÜRASYONU İNCELEMESİ Yukarıda anlatılan OSPF konfigürasyonunu görüntülemek, mevcut OSPF yapısı içerisinde oluşan problemleri anlamak ve çözüm üretmek için birçok show komutları bulunmaktadır. Bu bölümde bunları inceleyeceğiz. show ip ospf komutu ile yönlendiricinin OSPF proses bilgileri, Yönlendirici ID, Alan bilgileri, SPF istatistikleri, kimlik doğrulama bilgileri ve yönlendirme bilgilerini kaç kez hesaplandığı gibi bazı OSPF bilgileri görüntülenmektedir. RouterA#show ip ospf Routing Process "ospf 100" with ID 192.168.20.1 Supports only single TOS(TOS0) routes SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Number of DCbitless external LSA 0 Number of DoNotAge external LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Area BACKBONE(0)

236

Number of interfaces in this area is 3 Area has no authentication SPF algorithm executed 17 times Area ranges are Link State Update Interval is 00:30:00 and due in 00:17:52 Link State Age Interval is 00:20:00 and due in 00:07:52 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 RouterA# show ip ospf database komutu ile her bir alandaki komşu yönlendiricilerin kimlik bilgileri ve link bilgileri görüntülenmektedir. Aşağıdaki örnekte görüldüğü gibi yönlendiricinin IP adresi ve proses numarası görüntülenmiştir. Yönlendiricinin aldığı Router ve Network Link durumları ayrı ayrı gruplanarak görüntülenmiştir. ADV Router, link bilgisini gönderen (advertising router) yönlendiricisidir. Age ise mesajın gelmesinden ne kadar süre geçtiğini saniye cinsinden ifade etmektedir. RouterA#show ip ospf database OSPF Router with ID (192.168.10.1) (Process ID 100) Router Link States (Area 3) Link ID 192.168.20.131 192.168.20.132 192.168.20.194 192.168.10.1 192.168.10.10 192.168.10.11 192.168.10.12

ADV Router 192.168.20.131 192.168.20.132 192.168.20.194 192.168.10.1 192.168.10.10 192.168.10.11 192.168.10.12

Age 401 55 459 25 526 129 185

Seq# 0x80000004 0x80000002 0x80000007 0x8000000D 0x8000000A 0x80000002 0x80000001

Checksum 0xA449 0xA481 0xFF02 0x5AB2 0x4DCA 0x6A61 0x8E99

Link count 1 1 1 1 3 1 1

Net Link States (Area 3) Link ID 192.168.20.130 192.168.20.194 192.168.10.11

ADV Router 140.100.10.1 192.168.20.194 192.168.10.11

Age 50 114 131

Seq# 0x80000004 0x80000001 0x80000006

Checksum 0x3B71 0x1AC6 0x365D

show ip ospf interface (arayüztip-no) komutu ile arayüzdeki OSPF konfigürasyonu ve istatistiki bilgiler görüntülenmektedir. Aşağıdaki örnekte dördüncü satırda yönlendiricinin DR olduğu görüntülenmiştir. Burada birçok farklı alternatif ile karşılaşılabilir ve alınan bilgiye göre ihtiyaç halinde problem çözmede kullanılabilir. Bu alternatifler şunlardır; ¾ ¾ ¾ ¾ ¾ ¾ ¾

DOWN: Hiçbir yönlendirici ile iletişimi yoktur. ATTEMPT: NBMA ağda hello mesajı göndermiş fakat cevap alamamıştır. INIT: Hello mesajı almış fakat hiçbir yönlendirici ile komşuluk kurulamamıştır. TWO-WAY: Komşuluk kurulmuş ve komşu veritabanında kendi bilgilerinin varlığını öğrenmiştir. EXSTART: Komşu yönlendirici ile DDP mesaj alışverişi için linki aktif etmiştir. EXCHANGE: Komşu yönlendiriciye DDP mesajlarını göndermektedir. LOADING: Veritabanını oluşturmaktadır.

237

¾ ¾

FULL: Yakın komşuluk kurulmuştur. DR: Bulunduğu segmentte atanmış yönlendiricidir.

RouterA#show ip ospf interface fastethernet1/0 FastEthernet1/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 3 Process ID 100, Router ID 192.168.10.1, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 100 Designated Router (ID) 192.168.10.1, Interface address 192.168.1.1 Backup Designated router (ID) 192.168.20.2, Interface address 192.168.1.2 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:15 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 192.168.10.15 Adjacent with neighbor 192.168.10.16 Adjacent with neighbor 192.168.20.2 (Backup Designated Router) Suppress hello for 0 neighbor(s) show ip ospf neighbor [tip-no] [komşu-ID] [detail] komutu ile OSPF komşuları görüntülenmektedir. Bu komut farklı şekillerde kullanılarak değişik açılardan konfigürasyon incelenebilir. Show ip ospf neighbor komutu ile komşuların kısa bilgileri alınabiliyorken; show ip ospf neighbor detail komutu ile herbir komşunun detay bilgileri görüntülenebilir. Ya da show ip ospf neighbor (tip-no) komutu ile belli bir arayüzden komşuluk ilişkisi kurulmuş komşular görüntülenebilmektedir. RouterA#show ip ospf neighbor Neighbor ID 192.168.10.23 192.168.10.26 192.168.1.16 192.168.7.1 192.168.10.45 192.168.1.14

Pri 1 1 1 1 1 1

State FULL/DROTHER FULL/DROTHER FULL/DROTHER FULL/BDR FULL/DR FULL/DR

Dead Time 00:00:30 00:00:23 00:00:34 00:00:31 00:00:38 00:00:27

Address 192.168.10.23 192.168.10.26 192.168.1.16 192.168.10.20 192.168.10.45 192.168.1.14

RouterA#show ip ospf neighbor detail Neighbor 192.168.10.23, interface address 192.168.10.23 In the area 3 via interface FastEthernet1/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 192.168.10.20 Options 2 Dead timer due in 00:00:35 Neighbor 192.168.10.26, interface address 192.168.10.26 In the area 3 via interface FastEthernet1/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 192.168.10.20 Options 2 Dead timer due in 00:00:34 Neighbor 192.168.1.16, interface address 192.168.1.16 In the area 3 via interface FastEthernet1/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 192.168.10.45 BDR is 192.168.10.40 Options 2 Dead timer due in 00:00:36 Neighbor 192.168.7.1, interface address 192.168.7.1 238

Interface FastEthernet1/0 FastEthernet1/0 Fddi1/0 FastEthernet1/0 Fddi1/0 FastEthernet2/0

In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.32.11 BDR is 192.168.10.20 Options 2 Dead timer due in 00:00:32 Neighbor 192.168.10.45, interface address 192.168.10.45 In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 192.168.10.45 BDR is 192.168.10.40 Options 2 Dead timer due in 00:00:38 Neighbor 192.168.1.14, interface address 192.168.1.14 In the area 3 via interface FastEthernet3/0 Neighbor priority is 1, State is FULL, 9 state changes DR is 192.168.1.14 BDR is 192.168.1.13 Options 2 Dead timer due in 00:00:38 show ip protocols komutu ile konfigürasyonu görüntülenmektedir.

yönlendiricide

koşan

RouterA#show ip protocols Routing Protocol is "ospf 100" Sending updates every 0 seconds Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: ospf 100 Routing for Networks: 192.168.10.0 Routing Information Sources: Gateway Distance Last Update 192.168.10.23 110 00:22:14 192.168.10.26 110 00:22:43 192.168.10.45 110 00:02:15 Distance: (default is 110)

239

IP

yönlendirme

protokollerinin

CİSCO ROUTER KOMUT ÖZETLERİ

BASİT ROUTER İŞLEMLERİ Yetkili moda geçme (Priveledge mode) Enable Kullanıcı moduna geçme (User mode) Disable Router veya Switch ‘den çıkma bağlantı kesme Exit veya logoff ↑ (Yukarı ok) veya Ctrl+P Bir önceki yazılan komutu getirir ↓ (Aşağı ok) veya Ctrl+N Bir sonraki yazılan komutu getirir ← (Sol Ok) veya Ctrl+B Bir karakter geriye kaydırır → (Sağ Ok) veya Ctrl+F Bir karakter ileriye kaydırır Kesme (Break) tuşu ++6’x’ Otomatik komut tamamlama tuşu ROUTER VEYA SWİTCH ‘İN TEMEL ÖZELLİKLERİNİ ÖĞRENME IOS version ve cihaz bilgisi Show version Ram’da bulunan aktif konfigurasyonu gösterir Show running-config NVRAM’e kaydedilmiş konfigurasyonu gösterir Show startup-config Flash hafıza ve IOS dosyası bilgilerini gösterir Show flash CPU’ nun kullanım durumu gösterir Show processes cpu ROUTER KONFİGURASYON KOMUTLARI Konfigurasyom moduna girme Configure terminal TFTP serverda kayıtlı konfigurasyon dosyasını Copy tftp running-config Ram’e kopyalar. NVRAM’de kayıtlı konfigurasyon dosyasını Ram’e Copy startup-config running-config kopyalar TFTP serverda kayıtlı IOS işletim sistemi Copy tftp flash dosyasını flash’a kopyalar.(IOS versiyon yükseltme) Flash hafızadaki IOS dosyasının yedeğini TFTP Copy flash tftp server’a alır. Ram daki güncel konfigurasyonu NVRAM’a Copy running-config startup-config kaydeder (startup-config) ismi ile. Flash hafızadaki hangi IOS dosyasından Boot system flash {dosyaismi} açılacağını belirtir. Tftp serverdan hangi IOS dosyasını ile Boot system tftp {dosyaismi} açılacağını belirtir. PASSWORD (ŞİFRE) İŞLEMLERİ Line console 0 Login Konsol Bağlantısına şifre koyma Password …….

240

Telnet bağlantısına şifre koyma

Line vty 0 4 Login Password ………

Yetkili moda (Priveledge mode) geçiş için şifre Enable password ……… koyma Yetkili moda (Priveledge mode) geçiş için Enable secret ………… kriptolu şifre koyma . SERİ ARABİRİM (İNTERFACE) KONFİGURASYONU Seri arabirim özelliklerini ve DCE veya DTE modunda olup olmadığını gösterir. Genel konfigurasyon modundan arabirim (interface) konfigurasyon moduna geçme DCE modu için clock hızı tanımlama (64000 bps) Band genişliği tanımlama Kps cinsinden. Arabirimi aktif etmek Arabirim durumuna ve istatistiklere bakma

Show controller serial X (arabirim no) Interface serial 1 Clock rate 64000 Bandwidth 64 No shutdown Show interface serial 1 Show ip interface brief

CDP(CİSCO DİSCOVERY PRO) PROTOKOLU KOMUTLARI Direk bağlı olan Cisco komşu cihazları cdp ile Show cdp neighbor bulup özelliklerini gösterir CDP aktif edilmiş arabirimleri gösterir. Show cdp interface Sadece belirtilen arabirim için CDP bilgilerini Show cdp entry Ethernet 0/0 gösterir. Tüm cihazdaki arabirimler için CDP ‘yi No cdp run kapatır.(global konfig modunda yazılır.) Sadece belirtilen interface için CDP ‘i No cdp enable kapatır.(Arabirim konfig modunda) TCP/IP KOMUTLARI İp yönlendirme işlemini kapatır.

No ip routing

Bir Seri arabirim’e ip adresi verme.

Interface serial 0 IP address 157.89.1.3 255.255.0.0

Bir Ethernet arabirimine ip adresi verme.

Interface Ethernet 0 IP address 208.1.1.4 255.255.255.0

Rip protokolunu konfigure etme

Router rip Network 157.89.0.0 Network 208.1.1.0

241

İp yönlendirme tablosunu gösterir Show ip route Rip protokolu için Debug (hata arama modu) Debug ip rip açar. IGRP protokolu için Debug (hata arama modu) Debug ip igrp events açar. Debug ip igrp transactions ERİŞİM LİSTELERİ (ACCESS LİST) IP standart erişim listesi numaraları IP genişletilmiş (extended) erişim listesi numaraları Hangi erişim listeleri hangi arabirimlere uygulanmış gösterir Erişim listelerini gösterir

1-99 100-199 Show ip interface serial 0 Show access-lists Show ip access-list

Standart Erişim listesi Örneği; Amaç: 200.1.1.0 255.255.255.0 subnetinden gelen paketleri Ethernet 0 arabirime girmesini engellemek. 1 nolu Standart ip erişim listesi ile belirtilen Access-list 1 deny 200.1.1.0 0.0.0.255 subnet yasaklanır. 1 nolu Standart bir ip erişim listesi için diğerlerine Access-list 1 permit any izin verir. Oluşturulan 1 nolu erişim listesini Ethernet 0 Interface Ethernet 0 arabirimine giriş yönünde uygula. Ip access-group 1 in Genişletilmiş Erişim listesi Örneği; Amaç1: 1.1.1.1 ip adresli Pc’nin , Ethernet 0 arabirimine bağlı 2.2.2.2 server’a telnet yapmasını engelle. Amaç 2: 3.3.3.0 subnetindeki bütün makinaların herhangi bir yere web bağlantısını engelle. 100 nolu genişletilmiş erişim listesi amaç Access-list 100 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23 1 için yazılır. Access-list 100 deny tcp host 3.3.3.0 0.0.0.255 any eq 80 100 nolu genişletilmiş erişim listesine amaç 2 için ekleme. Access-list 100 permit ip any any Amaçlar dışındaki diğer trafiğe izin verilmesi Interface Ethernet 0 Oluşturulan erişim listesinin Ethernet 0 Ip access-group 100 out arabirimine çıkış yönünde uygulanması PPP (POİNT TO POİNT) PROTOKULU Seri arabirimde PPP protokolunu aktif eder.

Encapsulation ppp

PPP kimlik denetimi(authentication) için Chap

Ppp authentication chap

242

seçilir (Chap veya Pap iki tür denetim var) Chap hostname için routerin kendi ismi yazılır Chap için sifre tanımlama (varsayılan yetkili mo şifresidir) Pap için kullanıcı ismi belirtme Bu routera bağlanacak karşı router için kullanıcı adı ve sifre tanımlama. Seri arabirim özelliklerini listeler

Ppp chap hostname benimrouter Ppp chap password Sivas Ppp pap sent-username cevdet Username karsirouter password bakan Show interface serial 0

Debug ppp authentication PPP kimlik doğrulama işlemleri için debug mod açar gösterir. FRAME-RELAY PROTOKOLU

Frame-relay bağlantısını ieft kapsüllemesi kullanarak aktif eder. LMI tipini belirtme

Encapsulation frame-relay ietf

Inverse Arp çalışmadığı durumlarda yerel DLCI adresini karşı sistemin ip adresine map eder. (eşleştirir) DLCI numarası tanımlama

Frame-relay map ip 3.3.3. 100 broadcast

Frame-relay lmi-type ansi

Frame-relay local-dlci 100

Frame-relay bağlantısının DLCI ve LMI vb. bilgileri Show interface serial 0 gösterir. Show frame-relay pvc PVC trafik istatistiklerini gösterir. Frame-relay map (eşletirme DLCI –IP) gösterir.

Show frame-relay map

LMI bilgilerini gösterir.

Show frame-relay lmi

KONFİGURASYON REGİSTERİ (Config-Reg) İŞLEMLERİ Router’ı RXBOOT modunda açılmasını için konfigurasyon register’i değiştirir. Router’ı ROM ‘dan açılmasını için konfigurasyon register’i değiştirir. Router ROM ‘dan açılırken NVRAM’deki konfigurasyon dosyasını işlemeden açılmayı sağlar. Router FLASH ‘dan açılırken NVRAM’deki konfigurasyon dosyasınıda işleyerek açılmayı sağlar. (Normal çalışma modu) Router FLASH ‘dan açılırken NVRAM’deki konfigurasyon dosyasını işlemeden açılmayı sağlar. (Şifre kırma modu)

Config-reg 0x2000 Config-reg 0x2101 Config-reg 0x2141

Config-reg 0x2102

Config-reg 0x2142

243

CİSCO SWİTCH KOMUT ÖZETLERİ (IOS Tabanlı) Switch’e isim (hostname) verme VLAN1 arabirimine ip adresi vermek

Switch(config)#hostname hostname

Ram’deki aktif konfigurasyonu gösterir. NVRAM’de kayıtlı konfigurasyon dosyasını siler. Vlan oluşturma

Switch#show running-config

Ethernet arabirimlerini vlanlara üye yapma Trunk oluşturma Trunk kapsülleme tipi seçimi

Switch(config)#interface vlan 1 Switch(config-if)#ip address ip-address netmask

Switch#erase startup-config

Switch#vlan database Switch(vlan)#vlan vlan-num name vlan-name Switch(config)#interface fastethernet 0 Switch(config-if)#switchport access vlan vlan-num Switch(config)#interface fastethernet 0 Switch(config-if)#switchport mode [Access | multi | trunk] Switch(config-if)#switchport trunk encapsulation {isl|dot1q}

Trunk hattından geçeçek vlanlara izin verme

Switch(config-if)#switchport trunk allowed vlan add vlan-list

VTP protokulunu aktif etme

Switch#vlan database Switch(vlan)#vtp domain domain-name Switch(vlan)#vtp {server | client | transparent} Switch(vlan)#vtp password password Switch(vlan)#vtp v2-mode (version2)

3. Katman switchlerde ip yönlendirme işlemini başlatma

Router(config)#ip routing Router(config)#router routing-protocol Router(config-router)#network network

Switch’de varsayılan ağ geçidini (Default-gateway) tanımlama Konfigurasyonu Nvram’e kaydeder. Konfigurasyonu Tftp server’a kaydeder.

Switch(config)#ip default-gateway ipaddress

Ethernet Arabirimlerin hızlı açılması için Cbakan

Switch(config)#spanning-tree portfast

Switch#copy running-config startup-config Switch#copy running-config tftp

2006-11-21 244

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF