Cisco 4500-E / 4500-X Serisi Switchlerde Virtual Switching System (VSS) Teknolojisi ve Konfigürasyonu

Bu yazımda cisco 4500/6500 serisi switch ürün ailelerinde sıklıkla kullanılan Virtual Switching System (VSS) yani IT dilinde sıklıkla kullandığımız cluster, stacking teknolojisinden bahsedeceğim.

Amacımız 2 switchi alıp bu özel teknoloji ile birbirine bağlayarak:

– Active/Active çalışan bir yapı kurmak,
– Spanning-Tree bağımlılığını ortadan kaldırmak,
– “N” verim alacak iken  diğer switchi de yatırmadan çalıştırarak “2N” verim almak.

 

VSS1

VSS yaptığımız switchlerde data plane aynı anda her iki switchte de aktif olarak kullanılmaktadır. Bu da bize gateway yedekliliği sağlayan FHRP protokollere (HSRP, VRRP, etc.) göre daha fazla throughput sağlamaktadır. Yukarıdaki şekilden de görüleceği üzere mantıksal anlamda 2 switch tek bir switch gibi çalışmaktadır.

VSS’i 2 adet switch ile yapıyoruz. VSS’e üye switchler birbirlerine standard Gigabit veya 10 Gigabit Ethernet bağlantıları üzerinden Virtual Switch Link (VSL) ile bağlanmaktadır. VSL üzerinden switchler arasındaki control plane trafiğinin yanı sıra kullanıcı trafiği de geçmektedir. Gereksinimleri altta bulabilirsiniz.

Ben örnek olarak VSS’i 4500X serisi switchler üzerinde yapılandıracağım.

Gereksinimler:

  1. 4500-E / 6500 serisi switchlerde VSS yapılacak ise şaseler üzerinde benzer işleve sahip supervisor’lerin bulunması gerekmektedir. Örneğin:
    1. 4500-E için Supervisor Engine 7-E veya 7-LE bulunmalıdır.
  2. Cihazlar üzerinde aynı IOS ve ROM versiyonu bulunmalıdır.
  3. Lisans olarak mimimum IP base olmalıdır.
    Feature LAN Base IP Base Enterprise Service
    • Virtual Switching System (VSS

     

    No Yes
    (SUP7E only)
    Yes
    • Support for Layer 3 MEC—VSS with Layer 3 Multichassis EtherChannel (MEC) at the aggregation layer
    • Support for VSLP Fast Hello—With VSLP Fast Hello, the Catalyst 4500-X configured for VSS can now connect Access Switches that do not support the ePAgP protocol.
    • Support for VSL Encryption
    • Support for Asymmetrix chassis
    No Yes (SUP7E)No (SUP7LE) Yes (SUP7E)Yes (SUP7LE)
  4. 1G ve 10G ethernet bağlantısı desteği vardır. 4500’lerde tavsiye edilen 10G portlar üzerinden yapılmasıdır.

Konfigürasyon:

    1. Öncelikle 4500-X switchlerin IOS ve ROM versiyonlarını karşılaştırıyoruz. Farklılık varsa cisco tarafından tavsiye edilen versiyonlara geçiş yapıyoruz
Switch-01#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 1 minutes
Uptime for this control processor is 2 hours, 3 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

Switch-02#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 51 minutes
Uptime for this control processor is 2 hours, 53 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

2.Lisansları kontrol ederek, aynı seviyede olduklarını görüyoruz.

Switch-01#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

 

Switch-02#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

3. Virtual Switch Domain ve Switch Numaralarının Belirlenmesi

Dikkat: Virtual Domain ID aynı, switch ID farklı olmalıdır.

Switch-01#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-01(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-01(config-vs-domain)#switch 1 
Switch-01(config-vs-domain)#end
Switch-02#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-02(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-02(config-vs-domain)#switch 2 
Switch-02(config-vs-domain)#end 

4.VSL Port Channel Oluşturulması

Dikkat: Port-channel numaraları muhakkak farklı olmalıdır. Yoksa benim gibi aynı verip 2 saatinizi neden çalışmadığını çözmeye çalışmakla geçirebilirsiniz 🙂

Switch-01(config)#int port-channel 9 
Switch-01(config-if)#switchport 
Switch-01(config-if)#switch virtual link 1 
Switch-01(config-if)#no shut 
Switch-01(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans
Switch-02(config)#int port-channel 10 
Switch-02(config-if)#switchport 
Switch-02(config-if)#switch virtual link 1 
Switch-02(config-if)#no shut 
Switch-02(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans

5.VSL Port Konfigürasyonu

(Benim kurduğum topolojiye göre switchler birbirlerine 1/15 ve 1/16 portlarından bağlılar. Her switchin portunu bir önceki adıma göre channel-group’a atıyoruz.)

Switch-01(config)#int range te1/15 - 16 
Switch-01(config-if-range)#switchport mode trunk 
Switch-01(config-if-range)#channel-group 9 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-01(config-if-range)#exit 
Switch-02(config)#int range te1/15 - 16 
Switch-02(config-if-range)#switchport mode trunk 
Switch-02(config-if-range)#channel-group 10 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-02(config-if-range)#exit 

6.Virtual Switch Mode’a Geçiş

Switchlerin “Virtual Switch” mode’a geçiş yapmaları için gerekli komutu önce 1. switchte (reboot olup açıldıktan sonra), sonrasında da 2. switchte yazıyoruz.

Switch-01#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6451 bytes to 2781 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED
Switch-02#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6111 bytes to 2713 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED

Bu komutların girilmesinin ardından switchler kapanıp açılarak her switchin Virtual Switch mode’a geçiş yapmış ve VSS konfigürasyonunun tamamlanmış olması gerekiyor. Artık switch portlarının gösterimi de (module/port) şeklinde değil (switch/module/port) şeklinde olacaktır.

Doğrulama:

1. Artık sadece active olan switche console üzerinden bağlanabilir veya telnet/ssh yaptığımızda active switch üzerinde session açılmış olarak göreceğiz.

Passive olan switche console ile bağlanmak istediğimizde:

Switch-02-standby> Standby console disabled

şeklinde bir ekran ile karşılaşacağız.

Domain ID ve switch ID bilgisinin kontrolü için:

Switch-01#show switch virtual 

Executing the command on VSS member switch role = VSS Active, id = 1


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 1
Local switch operational role: Virtual Switch Active
Peer switch number           : 2
Peer switch operational role : Virtual Switch Standby

Executing the command on VSS member switch role = VSS Standby, id = 2


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 2
Local switch operational role: Virtual Switch Standby
Peer switch number           : 1
Peer switch operational role : Virtual Switch Active

2. Switchlerin VSS’teki rolleri için:

Switch-01#show switch virtual  role 

Executing the command on VSS member switch role = VSS Active, id = 1

RRP information for Instance 1

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   1      UP      FALSE(N )     100(100)  ACTIVE   0       0   
REMOTE  2      UP      FALSE(N )     100(100)  STANDBY  5305    6073

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No


Executing the command on VSS member switch role = VSS Standby, id = 2

RRP information for Instance 2

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   2      UP      FALSE(N )     100(100)  STANDBY  0       0   
REMOTE  1      UP      FALSE(N )     100(100)  ACTIVE   6073    5305

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No

3. VSL ile ilgili bilgi almak için

Switch-01#show switch virtual link 

Executing the command on VSS member switch role = VSS Active, id = 1


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te1/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off


Executing the command on VSS member switch role = VSS Standby, id = 2


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te2/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off

4. VSL Port Channel ile ilgili bilgiyi görüntülemek için

Switch-01#sh switch virtual link port-channel

Executing the command on VSS member switch role = VSS Active, id = 1

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

Executing the command on VSS member switch role = VSS Standby, id = 2

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

5. Son olarak da redundancy(yedeklilik) durumunu  ve switchlerdeki IOS, config register parametrelerini görüntülemek için

Switch-01#show switch virtual redundancy 

Executing the command on VSS member switch role = VSS Active, id = 1


                  My Switch Id = 1
                Peer Switch Id = 2
        Last switchover reason = none
    Configured Redundancy Mode = Stateful Switchover
     Operating Redundancy Mode = Stateful Switchover

Switch 1 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = ACTIVE
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = ACTIVE

Switch 2 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = STANDBY HOT (switchover target)
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = STANDBY


Executing the command on VSS member switch role = VSS Standby, id = 2

show virtual switch redundancy is not supported on the standby

Kişisel Not: 4500X serisi switchler 4500-E ve 6500 serisi ürünlere göre daha yeni olduğundan eski IOS’larında sıkca bug’a rastlayabilirsiniz. Bu ürünlerde mümkün olduğunda güncel firmware kullanmak faydanıza olacaktır.

Detaylı bilgi için 6500 serisi switchlerdeki Sıklıkla Sorulan Sorular kısmını inceleyebilirsiniz.

HP v1910 Full CLI Mode

HP switch ürün aileleri temel anlamda Procurve(E serisi) ve H3C(A serisi)’den gelen switchlerden oluşmaktadır. Bu scalada en basit desktop tarzı switchten omurga şase switchlere kadar bir çok segmentte çözümler sunmaktadır. HP v1910 da giriş seviyesi diyebileceğimiz, çok yüksek performans sunmayıp basit switch ihtiyacını karşılayacak bir üründür.

Bu ürün normalde ağırlıklı olarak web based yani web üzerinden yönetilecek şekilde tasarlanmış ve kullanılmaktadır. Telnet/SSH veya konsol bağlantısı yapıldığında konfigürasyona yönelik çok fazla önerisi bulunmamaktadır. Fakat ben CLI adamıyım diyenler için de yazılacak özel bir kaç komutla cihaz aynı üst seviye abi’leri CLI ‘dan yönetime izin vermektedir.

Öncelikle cihazımıza telnet veya SSH ile bağlanmak için ilgili protokollere izin verilip verilmediğini kontrol ediyoruz. Eğer erişim kapalı ise bağlantı kurmak istediğimiz protokole izin veriyoruz.

hp1910_cli0

Sonra cihaza telnet ile bağlanarak username/password yazıp login oluyoruz.hp1910_cli

Sonra _cmdline-mode on yazarak full erişime geçmeye çalışıyoruz.hp1910_cli2

Çıkan soruya Y olarak yanıt veriyoruz.hp1910_cli3

Password yerine de 512900 yazıyoruz (Varsayılan password).hp1910_cli4

Artık cihazımın CLI arayüzünü kullanarak konfigürasyon yapabiliriz. Altta konfig modda yapılabilecekler bulunmaktadır:

[HPv1910]?
System view commands:
  aaa                      Specify AAA configuration
  acl                      Specify acl configuration information
  archive                  Specify archive settings
  arp                      Specify ARP configuration information 
  bootrom-update           bootrom update
  clock                    Specify the system clock
  cluster                  Specify cluster configuration information
  command-privilege        Specify the command level 
  configuration            Specify configuration settings
  copyright-info           Copyright information configuration
  cut                      Cut connection
  delete                   Delete function
  dhcp                     DHCP configuration subcommands 
  dhcp-snooping            DHCP Snooping
  display                  Display current system information
  domain                   Add domain or modify domain attributes
  dot1x                    Specify 802.1X configuration information 
  execute                  Batch Command
  file                     Specify file system configuration information 
  ftp                      Specify FTP configuration information 
  gratuitous-arp-learning  Gratuitous Arp learning function 
  gratuitous-arp-sending   Sending gratuitous-arp packet when receiving 
                           different sub-network arp packet function 
  habp                     Specify HABP configuration information
  header                   Specify the login banner 
  hotkey                   Specify hotkey configuration information 
  igmp-snooping            IGMP snooping
  info-center              Specify information center configuration information
  interface                Specify the interface configuration view 
  ip                       Specify IP configurations for the system
  job                      Schedule a system task
  jumboframe               Jumboframe command
  lacp                     Configure LACP Protocol
  lldp                     Link Layer Discovery Protocol(802.1ab) 
  local-user               Specify local user configuration information
  logfile                  Specify log file configuration
  loopback-detection       Detect if loopback exists
  mac-address              Configure MAC address
  mirroring-group          Specify mirroring-group
  multicast-vlan           Multicast VLAN
  ndp                      Neighbor discovery protocol
  ntdp                     Specify NTDP configuration information
  ntp-service              Specify NTP(Network Time Protocol) configuration 
                           information
  ping                     Ping function 
  pki                      Specify PKI module configuration information
  port-group               Port group 
  public-key               Specify public-key module configuration information
  qos                      Command of QoS(Quality of Service)
  quit                     Exit from current command view
  radius                   Specify RADIUS configuration information
  return                   Exit to User View 
  rmon                     Specify RMON
  save                     Save current configuration
  sftp                     Specify SFTP service attribute
  snmp-agent               Specify SNMP(Simple Network Management Protocol) 
                           configuration information
  ssh                      Specify SSH (secure shell) configuration information
  ssl                      Specify SSL (Secure Socket Layer) configuration 
                           information
  stack                    Switch stack system
  storm-constrain          Port storm-constrain
  stp                      Spanning tree protocol
  super                    Modify super password parameters
  sysname                  Specify the host name 
  system-failure           System failure handling method 
  system-guard             System guard function 
  tcp                      Specify TCP(Transmission Control Protocol) 
                           configuration information 
  telnet                   Specify TELNET configuration information
  temperature-limit        Set temperature limit
  tftp                     Specify TFTP configuration information
  tftp-server              TFTP Server 
  time-range               Specify time-range configuration information
  tracert                  Trace route function 
  traffic                  Specify traffic configuration information
  undo                     Cancel current setting
  user-group               Specify user group configuration information
  user-interface           Configure the user terminal interface 
  vlan                     Configure VLAN
  voice                    Specify voice VLAN
  web                      Web configuration

Windows 7 & 8 ‘in NTP Server Olarak Kullanılması

NTP (Network Time Protocol) ün kısaltmasıdır. Türkçesi Ağ Zaman Protokolü’dür. NTP, değişken gecikmeye sahip paket anahtarlamalı ağlar üzerindeki bilgisayarların saatlerinin eş zamanlanmasının sağlanması için kullanılan bir protokoldür. Protokol, jitter buffer kullanımı sayesinde özellikle değişken gecikmenin etkilerine karşı dirençli olacak şekilde tasarımlanmıştır.

NTP, hala kullanılan en eski  internet protokollerinden birisidir(1985’den beri).

NTP, UDP 123 no’lu port üzerinden çalışır.

Hemen hemen bütün network cihazları üzerinde NTP desteği olabileceği  ve kullanılabileceği gibi bizim için UC (unified communications) işlerinde zorunluluktur. Haberleşmenin temeli zaman senkronizasyonuna dayandığından ses konularında NTP göz ardı edilemez bir parametre olmuştur. Konu sadece sesin olduğu ortamda ortak zaman parametresinin olması ve takibi değil bazı özelliklerin çalışması için de olmazsa olmazdır.

Örneğin cucm (call manager) kurulumu yaparken geçerli bir NTP server veremez ve cihazın zaman senkronizasyonunu bu cihaz üzerinden yapamaz isek kurulumu sürdüremeyiz.

Her zaman üzerinde ntp server koşan bir sunucu bulmamız kolay olmadığından bu yazımızda windows 7 veya 8 işletim sistemine sahip bilgisayarımızı nasıl NTP server yapabileceğimizi konuşacağız.

Öncelikle bilgisayarımızda windows + R tuşuna basarak veya çalıştır kısmına “regedit” yazarak kayıt defterini açıyoruz.

wind7_8_ntp_server1

Sonrasında aşağıdaki adımları takip ediyor ve belirtilen yerlerdeki değişiklikleri yapıyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NTPServer\Enabled
‘Enabled’  yazan flag’in içerisine girerek 1’i seçiyoruz.

wind7_8_ntp_server2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Type’ı NTP olarak seçiyoruz.

wind7_8_ntp_server3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
‘Announce Flags’ kısmını daha güvenilir bir zaman kaynağı göstermesi için 5 olarak değiştiriyoruz.

wind7_8_ntp_server4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDispersion
‘LocalClockDispersion’ kısmını “0”(sıfır) olarak değiştiriyoruz.

wind7_8_ntp_server5

Bütün hepsini yaptıktan sonra windows time protokolünü stop/start yapıyoruz.

wind7_8_ntp_server6

Son olarak servislere girip W32Time servisinin çalıştığını gördükten sonra startup type: Automatic olarak değiştirerek windows makinemizi ntp server olarak ayarlamış oluyoruz.

wind7_8_ntp_server7

Sonrasında ister call manager, voice gateway ister router/switch/firewall için NTP sunucusu yerine windows makinemizi kullanabiliriz.

Uyarı: Makine üzerinde windows firewall kapalı olmalı veya NTP sunucunun düzgün çalışması için UDP 123 portunun açılması gerekir.

Cisco IOS Type7 Password Çözme

Zaman zaman IOS üzerinde encrypt edilmiş olarak görünen (Type-7) password’lerin nasıl kırılacağı ile ilgili sorularla karşılaşmaktayım. Bu yazımda biraz bu konuya açıklık getirmeye çalışacağım.

Öncelikle elimizde running-config üzerinde clear text olarak açıkca görünmeyen password’lerimiz olsun.

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#username mehmet privilege 15 password myeni1234!
R1(config)#enable password cisco
R1(config)#service password-encryption 
R1(config)#end
R1#sh run
*Mar 1 01:25:15.979: %SYS-5-CONFIG_I: Configured from console by console
R1#sh run
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
service password-encryption
!
hostname R1
!
enable password 7 02050D480809
!
username mehmet privilege 15 password 7 060B16244247584B564353

Görüleceği üzere elimizde şifrelenmiş 2 password var ve bunları çözerek görüntülememiz gerekiyor.
Çözüm önerisi olarak sunulabilecek 4 yöntem mevcut:

1- Bu işi Cisco IOS işletim sistemine yaptırmak,
2- Online web sayfaları
3- Bedava yazılımlar
4- Android uygulaması

 

Yöntem-1

Çözümü hiç uzaklarda aramayın. Login olabildiğiniz bir router’a bu passwordün şifresini çözdürebilirsiniz. Bunun için yapılması gereken key-chain konfigürasyonlarını kullanmak. Şöyle ki, çözülecek her password için bir key-chain oluşturuyoruz ve password’ün type-7 olan şifrelenmiş halini buraya ekliyoruz.

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#
R1(config)#key chain
R1(config)#key chain Enable-pass-decrypt
R1(config-keychain)#key 1
R1(config-keychain-key)#key
R1(config-keychain-key)#key-string ?
  0     Specifies an UNENCRYPTED password will follow
  7     Specifies a HIDDEN password will follow
  LINE  The UNENCRYPTED (cleartext) user password

R1(config-keychain-key)#key-string 7 02050D480809
R1(config-keychain-key)#exit 
R1(config-keychain)#exit 
R1(config)#key chain
R1(config)#key chain Local-user-pass-decrypt
R1(config-keychain)#key 1     
R1(config-keychain-key)#key-string 7 060B16244247584B564353
R1(config-keychain-key)#end
R1#
R1#

Burada dikkat ettiyseniz key-string olarak show-run üzerinde görünün şifrelenmiş haldeki password’leri yazdım.

Sonrasında “show key chain” diyerek password’lerimizin açık halini görüntülemiş oluyoruz.

pass_decr1

Yöntem-2

Bu işi sadece encrypted password’ü yazmanızın ardından sizin için yapan web siteleri var. Uzun zamandır kullandığım şu siteyi önerebilirim.

Buradaki mantık da yine aynı. Type 7 halini veriyoruz, site bizim için çevirip çözülmüş halini ekrana getiriyor.

pass_decr3

 

pass_decr4
 Yöntem-3

Yine bu işi yapan ücretsiz yazılımlar var. Bunlardan Boson’un getpass yazılımı ile offline olarak ve elinizde herhangi bir router olmadan bu işlemi gerçekleştirebilirsiniz.

 

pass_decr5

 

Yöntem-4

Yine bu yöntem de aynı 3 gibi olmakla birlikte bu kez Android cihazlarda çalışan bir uygulama olarak karşımıza çıkıyor. Google play store’dan Cisco Type7 Decrypt uygulamasını indirip kurarak da bu işlemi gerçekleştirebiliriz.

pass_decr6
Not: Resim temsilidir.

Cisco IOS Banner

Banner, cisco IOS/IOS XR/NX-OS işletim sistemlerine sahip router, switch, firewall gibi cihazlarda login olunup console, telnet, SSH gibi yöntemlerle erişildiğinde cihaz tarafından verilen karşılama, bilgilendirme mesajlarını içeren özelliktir.

Genelde router/switch gibi cihazlarda banner’ı 2 amaçla kullanırız:

  • Bağlanılan cihazla ilgili bilgilendirme amaçlı mesaj vermek,
  • Cihaza erişen kullanıcının erişim hakkı olup olmadığını sorgulayarak uyarı vermek.

Temelde 5 farklı banner tipi vardır:

  • banner motd 
  • banner login 
  • banner exec 
  • banner slip-ppp
  • banner incoming

Genel anlamda ben en fazla koyu olarak yazılanları kullanıyorum. Gereksiz bilgiye boğmadan bunları açıklamaya ve örneklemeye çalışacağım.

Banner MOTD(Message of The Day)

Login prompt’undan da önce gösterilir. Genellikle o günle ilgili geçici bir mesajı paylaşmak için kullanılır. Örn: “Bu routerda calisma yapilmaktadir. Lutfen cihazı reboot etmeyin.”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner motd $
Enter TEXT message.  End with the character '$'.
Bu mesaj MOTD mesajidir.
$
R1(config)#

Burada dikkat edilmesi gereken motd yazdıktan sonra bir işaret, parametre belirleyip(ben $ olarak belirledim) mesajı bitirdikten sonra yine bu işareti kullanarak mesajı sonlandırmamız gerekmektedir. Diğer tüm banner’larda da aynı mantık vardır.

Banner Login

Genellikle kalıcı mesajlar için kullanılır. MOTD sonrası gösterilir.
Örn: “Bu router’a yetkisiz erisim yasaktir!”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner login $
Enter TEXT message.  End with the character '$'.
Bu mesaj LOGIN mesajidir.
$
R1(config)#

 Banner EXEC

Login olduktan sonra gösterilir. Amaç yetkisiz kullanıcıların görmemesi gerekli mesajları user/privilege exec moda geçerken göstermektir.

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner exec $
Enter TEXT message.  End with the character '$'.
Bu mesaj EXEC mesajidir.
$
R1(config)#

Şimdi buraya kadar anlatılanları örneklerle inceleyelim.

Alttaki topolojiye göre R2’ye login olmuşken R1’e telnet ile erişelim.

banner1

R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open

Bu mesaj MOTD mesajidir.

Bu mesaj LOGIN mesajidir.


User Access Verification

Password: 

Görüldüğü üzere önce motd sonra ise login banner’ı görünmüştür. User/Privilege exec moda geçtiğimizde ise

Password: 
Bu mesaj EXEC mesajidir.

R1>en

şeklinde exec banner’ı ile karşılaşıyoruz.

Banner Tokens

Banner’ları banner token’lar ile özelleştirebiliriz. Yani önceden belirleyeceğimiz token’ları kullanarak ilgili router/switch/firewall için spesifik bir kelimeyi yazdırabiliriz.

Banner token listesi alttaki gibidir.

banner2

 

Detaylı bilgi için tıklayınız.

Örnek olarak altta ASA üzerinde yapılandırılmış bir konfiği bulabilirsiniz.

ASA8-4# 
ASA8-4# conf t
ASA8-4(config)# banner motd *
ASA8-4(config)# banner motd wellcome to $(hostname).$(domain)
ASA8-4(config)# banner motd Only authorized users are allowed to connect.
ASA8-4(config)# banner motd *
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end

Buna göre banner’ımız cihazda konfigüre edilmiş olan hostname ve domain name bilgisini kullanacaktır.

Telnet ile bağlanmaya çalıştığımızda karşılaşacağımız ekran alttaki gibidir:

asa_asdm8_nbanner

Cisco ASA ASDM Erişimi

ASDM (Adaptive Security Device Manager) Cisco’nun güvenlik ürünlerini GUI (grafik/görsel arayüz) üzerinden yönetmeye yarayan aracıdır.  Bu yazımızda temel alacağımız cihaz cisco’nun firewall ürünü olan cisco ASA ailesi olacaktır. ASA’ları temelde 2 şekilde yönetiyoruz:

1- CLI (Command Line Interface)
Cihaza telnet/ssh veya üzerindeki console portundan erişerek komut satırı yoluyla.

2-GUI (Graphical User Inteface)
Cihaza ASDM üzerinden bağlanıp görsel arayüzü üzerinden.

İleri düzey kullanıcılar CLI’yı daha fazla tercih ederken, giriş/orta seviye kullanıcılar da ağırlıkla ASDM ile yönetimi daha uygun bulmaktadırlar. Yazımıza ASDM’i nasıl aktif edebileceğimiz ile devam edelim.

Öncelikle yönetmek istediğimiz ASA’ya ip erişimimizin olması gerekiyor. Ben anlatacaklarımı aşağıdaki basit topoloji üzerinden yapacağım.

ASA: 192.168.216.10
PC: 192.168.216.1

asa_asdm0

ASA’ya ip’sini vererek PC’ye olan erişimi kontrol ediyoruz.

ASA

ASA8-4# conf t
ASA8-4(config)# int gigabitEthernet 1
ASA8-4(config-if)# ip address 192.168.216.10 255.255.255.0
ASA8-4(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA8-4(config-if)# no shutd
ASA8-4(config-if)# no shutdown 
ASA8-4(config-if)# 
ASA8-4(config-if)# 
ASA8-4(config-if)# end
ASA8-4# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset administratively down up 
GigabitEthernet1 192.168.216.10 YES manual up up 
GigabitEthernet2 unassigned YES unset administratively down up 
GigabitEthernet3 unassigned YES unset administratively down up 
ASA8-4# pin
ASA8-4# ping 192.168.216.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.216.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASA8-4# 

Yine aynı şekilde PC’de ASA’ya erişebilmeli.

PC

asa_asdm7

Sonra ASDM image dosyasının ASA’nın flash dizinine atılmış olması gerekiyor. Bu işlemi de PC üzerindeki image dosyasının TFTP server ile atarak gerçekleştiriyoruz.

Yazılım olarak 3CDaemon kullanılabilir. ASDM image’ını attığımız dosyayı yazılımda göstermemiz gerekiyor. Benim kullandığım image asdm-649-103.bin , cisco.com üzerinde hesabınız varsa indirebilirsiniz veya internet ‘teki bazı kaynaklardan bulabilirsiniz.

asa_asdm1

ASA üzerindeki şu komutlarla image’ı atabiliriz.

ASA8-4# sh flash: 
--#--  --length--  -----date/time------  path
    5  8192        Apr 15 2015 08:58:18  log
   14  8192        Apr 15 2015 08:58:20  coredumpinfo
  144  196         Apr 15 2015 08:58:20  upgrade_startup_errors_201504150858.log


536567808 bytes total (535527424 bytes free)
ASA8-4# 
ASA8-4(config)# copy tftp: flash:                              

Address or name of remote host [192.168.216.1]? 

Source filename [asdm-621.bin]? asdm-649-103.bin

Destination filename [asdm-649-103.bin]? 

Accessing tftp://192.168.216.1/asdm-649-103.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-649-103.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
19706880 bytes copied in 69.460 secs (285606 bytes/sec)
ASA8-4# dir flash:

Directory of disk0:/

5      drwx  8192         08:58:18 Apr 15 2015  log
14     drwx  8192         08:58:20 Apr 15 2015  coredumpinfo
144    -rwx  196          08:58:20 Apr 15 2015  upgrade_startup_errors_201504150858.log
179    -rwx  11348300     19:46:03 May 04 2015  asdm-649-103.bin
ASA8-4(config)# asdm image  flash:/asdm-649-103.bin

Sonra ASDM  üzerinden cihaza erişmemiz için gerekli komutları yazıyoruz.

ASA8-4# conf t
ASA8-4(config)# 
ASA8-4(config)# domain-name mehmetyeni.com
ASA8-4(config)# http server enable 
ASA8-4(config)# http 192.168.216.0 255.255.255.0 inside 
ASA8-4(config)# 
ASA8-4(config)# username mehmet password mehmet123 privilege 15
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end
ASA8-4# wr

 

 

Artık firewall’a ASDM üzerinden erişebilir durumdayız.
Browser’da bir sekme açarak https://192.168.216.100 ‘e bağlanmaya çalışıyoruz. Bağlantımızın gizli olmadığı ile ilgili bir hata alacağız. ASA üzerindeki sertifika bizim browser’da bulunmadığından, bunu dikkate almadan atlayabiliriz.

asa_asdm2

 

Açılan sayfada “Install ASDM Launcher and Run ASDM” e tıklıyoruz. Bize ismi dm-launcher olan bir dosya indirmeyi önerecek, bir klasöre bu dosyayı indiriyoruz.

 

asa_asdm3

Sonra indirdiğimiz dosyayı çift tıklayarak çalıştırıyoruz ve next next diyerek default parametrelerle programın kurulumunu tamamlıyoruz. Ardından alttaki gibi bir ekranla karşılacağız.

Burada device IP: cisco ASA ip address

username: oluşturduğumuz kullanıcı adı
password: oluşturduğumuz şifre

Verilerini girdikten sonra OK diyoruz.

 

asa_asdm4

 

Tekrar sertifika ile ilgili uyarı verecek. Yes diyerek ilerliyoruz.

asa_asdm5

 

Son olarak ASDM arayüzü açılıyor ve artık ASA’ya bağlanmış durumdayız. Bundan sonra istediğimiz gibi ASA ‘nın yönetimini gerçekleştirebiliriz.

asa_asdm6

 

Fortigate Password Recovery(Şifre Kırma)

Fortigate ürün ailesi bir cihaza erişim için gerekli şifreyi bilmiyorsanız password’ünü resetlemenin bir yöntemi mevcut. Bunun için öncelikle cihaza üzerindeki console portu üzerinden fiziksel bağlantı yapmamız gereklidir.

İhtiyacımız olanlar:

  • Console kablosu
  • Terminal bağlantı yazılımı (putty, securecrt, vs)
  • Cihazın seri numarası

İşlem adımları:

  1. Fortigate’i console portu üzerinden bilgisayarımıza bağlıyoruz.
  2. Terminal programımızı çalıştırıyoruz (putty)
  3. Fortigate’e alttaki parametrelerle bağlanıyoruz.
    1. Hız: baud 9600
    2. Data bits: 8 bit
    3. Stop bits: 1 bit
    4. Flow Control: None
    5. Com Port : Bilgisayarın Com Portu
      fort_pass_reco1fort_pass_reco2
  4. Çıkan ekranda firewall’la ilgili hostname vs yazması gerekmektedir. Eğer bir şey yazıyorsa Enter’a basılarak ekrana firewall arayüzü düşürülür.
  5. Firewall yeniden başlatılır.
  6. Firewall’un açılması beklenir ve login ekranı gelir gelmez alttaki komutlar username/password kısmına yazılır(büyük/küçük harf duyarlıdır, dikkat!):
    1. username: maintainer
    2. password: bcpb + Seri Numarası (Örneğin: bcpbG300C3944443335)

Not: Bu işlemi yapmak için 14 saniye gibi bir süre vardır. Bu süre içerisinde başarılı bir şekilde login olunmazsa step5’ten itibaren yeniden başlanmalıdır.

7.  Firewall’a bağlantı yaptıktan sonra yeni şifre verilerek eski şifre kullanım dışı kalmış olur. Bunu da

Vdom olmayan cihazlarda:

config system admin
edit admin
set password <Yeni-PASSWORD>
end

Vdom olan cihazlarda:

config global
config system admin
edit admin
set password <Yeni-PASSWORD>
end

Uyarı: bu işlem maintainer özelliği aktif edilmiş ise kullanılabilir, varsayılan olarak aktif şekilde gelir. Fakat kapalı ise malesef password’ü bu şekilde kırmak mümkün olmayacaktır.

Uyarı2: bu işlemi sistemde açık olarak görenler password recovery özelliğini şu şekilde devre dışı bırakabilirler:

config system global
set admin-maintainer disable
end

Açmak için ise :

config system global
set admin-maintainer enable
end

Fortigate CLI Konfigürasyon Komutları

Bu yazımızda ilk olarak incelediğimiz Fortigate’de CLI durum görüntüleme (show/get ) komutlarından farklı olarak GUI üzerinde yaptığımız ayarların CLI ortamında yapılışını inceleyeceğiz.

config system settings
set opmode nat –> Cihazı Nat/Route modda çalıştırır.
set opmode transparent –> Cihazı transparent(Layer2) modda çalıştırır.
end

config system global
set admin-concurrent enable/disable –> Eşzamanlı yönetici bağlantısına izin vermeye/kısıtlamaya yarar.
set admin-port 8443 –> Admin bağlantı portunu değiştirir.
set admin-sport 8443 –> Admin SECURE bağlantı portunu değiştirir.
set sslvpn-sport 443 –> SSL vpn bağlantı portunu belirler.
set admintimeout 20 –> Adminin işlem yapmadan bağlı kalma süresini belirler.
set hostname –> Cihazın hostname’ini değiştirir.

config system dns        –> 1. ve 2. DNS server’ları belirler.
set primary  8.8.8.8
set secondary 4.4.4.2
end

cofng system ntp   –>NTP server’ları belirler.
config ntpserver
edit 1
set server 10.0.0.100 –> 1. NTP Server
end
edit 2
set server 10.0.0.101  –> 2. NTP Server
end
set ntpsync enable –> NTP senkronizasyonunu aktifleştirir.
end
execute time –> Cihazın zamanını gösterir.

Test-FW1 # execute time
current time is: 17:44:48
last ntp sync:Fri May 1 17:06:16 2015

config log syslogd setting     –> Syslog sunucu ayarlamaya yarar.
set status enable
set server <IP address>
set port 514
set facility user
end

config system interface        –> Interface’e IP atamaya, erişim için gerekli protokollere izin vermeye yarar.
edit wan1
set vdom “root”
set mode static
set ip 172.16.12.12 255.255.255.0
set allowaccess ping http https ssh telnet fgfm snmp capwap auto-ipsec –> Hangi protokoller seçilirse sadece onlara izin verilir.
set type physical
set alias “Local-Network”

config system interface          –> LACP port aggregation yapmak için kullanılır.
edit aggr1
set member “port8″ “port9″
end

config router static       –> Default Route eklemeye yarar
edit 1
set gateway 172.16.0.1
end

config router static      –> Static Route eklemeye yarar
edit2 –> Yeni bir route eklerken bu id numarasından büyük veya “edit 0” şeklinde eklenmelidir.
set device port1
set dst 10.0.0.0 255.255.255.0
set gateway 10.0.1.1

 

 

Fortigate CLI Durum Görüntüleme Komutları

Fortigate gerek sunduğu UTM çözümleri, gerek kullanım kolaylığı ile son yıllarda tartışmasız kamu/özel sektör farketmeksizin en fazla kullanılan Firewall/Güvenlik markalarının başında gelmektedir. Yönetimsel olarak çok basit bir arayüze sahip olan GUI’sinin yanı sıra daha fazlasına olanak sağlayan CLI arabirimi de oldukça kullanışlıdır.

Bu yazımda fortigate 20C/30D gibi en küçük ürünlerden 1500D/3240C gibi üst seviye cihazlara kadar hemen hemen bütün fortigate ürünlerinde sıklıkla kullandığım CLI komutlarını paylaşacağım.

show –> Cihaz üzerindeki konfigürasyonu default parametreler olmadan gösterir.Note that output is only non-default values.
show full-configuration –> Cihaz üzerindeki bütün konfigürasyonu gösterir.
show system interface port1 | grep -A2 ip –> Port1 interface’i üzerindeki konfigürasyondan içerisinde “ip” geçen satırı ve sonraki 2 satırı gösterir.
show system interface –> Interface konfigürasyonunu gösterir.
diagnose hardware deviceinfo nic –> Donanımsal Interface istatistiksel bilgilerini gösterir.
diagnose hardware sysinfo memory –> Donanımsal hafıza bilgisini gösterir.
get hardware nic –> Cihaz üzerinde fiziksel olarak kullanılabilecek interface’leri gösterir.
diagnose ip address list –> Interface’ler üzerindeki ip/subnet bilgisini gösterir.
get system interface physical –> Cihaz üzerinde fiziksel olarak kullanılabilecek interface’lerin durum/ip/hız/duplex ayarlarını gösterir.
get system info admin status –> Cihaza login olmuş kullanıcıları gösterir.
get system status –> Sistemin donanım/yazılım versiyonlarını gösterir.
get hardware status –> Detaylı donanım model bilgisini gösterir.
get system performance status –> Cihazın o anki çalışma performans bilgisini gösterir
get system performance top –> Cihazın o anda en fazla kaynaklarını tüketen uygulamaları gösterir (Bu konuyla ilgili daha detaylı bir yazım olacaktır.)
get system session status –> Cihaz üzerindeki anlık toplam session sayısını gösterir.
get system session-info full-stat –> Cihaz üzerindeki anlık toplam session sayısını daha detaylı gösterir.
get system session list –> Satır satır session bilgisini gösterir.

 

get system global | grep -i timer –> Global olarak tcp/udp session sürelerini gösterir.
get system session-ttl –> Sistemin varsayılan tcp-idle session zamanaşımı süresini gösterir.
execute ha manage –> Cluster olarak çalışan sistemdeki slave cihaza ulaşmak veya slave cihazdan master’a dönmek için kullanılır.

diagnose ip arp list –> Detaylı port/ip/mac ile arp bilgisini gösterir.
diagnose ip arp list | grep 10.101.0.23 –>Arp tablosu içerisinden ilgili ip’yi sorgulayarak sadece o satırır getirir.
get system arp –> Basit port/ip/mac ile arp bilgisini gösterir.

get router info routing-table all –> Bütün halde Routing tablosunu gösterir.
get router info routing-table static –> Static route’larla oluşturulmuş routing tablosunu gösterir.
show router static –> Yazılmış statik route’larla ilgili tabloyu gösterir.
get router info kernel –> Cihazın kernel’ı(çekirdek) üzerindeki routing-tablosunu gösterir.

 

Yukarıdaki bütün komutları içeren örnekleri altta bulabilirsiniz:

Test-FW1 # show
#config-version=FG300C-5.00-FW-build252-131031:opmode=1:vdom=0:user=admin
#conf_file_ver=7670579497414703770
#buildno=0252
#global_vdom=1
config system global
set admin-https-redirect disable
set admin-port 12080
set admin-sport 12443
set admintimeout 20
set fgd-alert-subscription advisory latest-threat
set gui-dlp enable
set gui-explicit-proxy enable
set gui-load-balance enable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-wireless-controller disable
set hostname “Test-FW1”
set revision-backup-on-logout enable
set revision-image-auto-backup enable
set service-expire-notification disable
set timezone 31
end

Test-FW1 # show full-configuration
#config-version=FG300C-5.00-FW-build252-131031:opmode=1:vdom=0:user=admin
#conf_file_ver=7670579497414703770
#buildno=0252
#global_vdom=1
config system global
set admin-concurrent enable
set admin-console-timeout 0
set admin-https-pki-required disable
set admin-https-redirect disable
set admin-lockout-duration 60
set admin-lockout-threshold 3
set admin-maintainer enable
set admin-port 12080
set admin-scp disable
set admin-server-cert “Fortinet_Factory”
set admin-sport 12443
set admin-ssh-grace-time 120
set admin-ssh-port 1222
set admin-ssh-v1 disable
set admin-telnet-port 23
set admintimeout 20
set allow-traffic-redirect enable
set anti-replay strict
set auth-cert “self-sign”
set auth-http-port 1000
set auth-https-port 1003
set auth-keepalive disable
set auth-policy-exact-match enable
set av-failopen pass
set av-failopen-session disable
set batch-cmdb enable
set block-session-timer 30
set cert-chain-max 8
set cfg-save automatic
set check-protocol-header loose
set check-reset-range disable
set clt-cert-req disable
set csr-ca-attribute enable
set daily-restart disable
set dst enable
set endpoint-control-fds-access enable
set endpoint-control-portal-port 8009
set explicit-proxy-auth-timeout 300
set fds-statistics enable
set fgd-alert-subscription advisory latest-threat
set forticlient-reg-port 8010
set gui-antivirus enable
set gui-ap-profile enable
set gui-application-control enable
set gui-central-nat-table disable
set gui-certificates enable
set gui-client-reputation enable
set gui-dlp enable
set gui-dns-database disable
set gui-dynamic-profile-display disable
set gui-dynamic-routing enable
set gui-endpoint-control enable
set gui-explicit-proxy enable
set gui-icap disable
set gui-implicit-policy enable
set gui-ips enable
set gui-ipsec-manual-key disable
set gui-ipv6 disable
set gui-lines-per-page 50
set gui-load-balance enable
set gui-local-in-policy disable
set gui-multicast-policy disable
set gui-multiple-utm-profiles enable
set gui-nat46-64 disable
set gui-object-tags disable
set gui-policy-based-ipsec disable
set gui-replacement-message-groups disable
set gui-spamfilter disable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-utm-monitors disable
set gui-voip-profile disable
set gui-vpn enable
set gui-vulnerability-scan disable
set gui-wanopt-cache disable
set gui-webfilter enable
set gui-wireless-controller disable
set gui-wireless-opensecurity disable
set hostname “Test-FW1”
set http-obfuscate modified
set ip-src-port-range 1024-25000
set ipsec-hmac-offload enable
set ipv6-accept-dad 1
set language english
set ldapconntimeout 500
set login-timestamp disable
set management-vdom “root”
set max-dlpstat-memory 5
set max-report-db-size 1024
set optimize-ssl disable
set phase1-rekey enable
set policy-auth-concurrent 0
set post-login-banner disable
set pre-login-banner disable
set radius-port 1812
set refresh 0
set registration-notification enable
set remoteauthtimeout 5
set reset-sessionless-tcp disable
set revision-backup-on-logout enable
set revision-image-auto-backup enable
set send-pmtu-icmp enable
set service-expire-notification disable
set sslvpn-cipher-hardware-acceleration enable
set sslvpn-kxp-hardware-acceleration enable
set strict-dirty-session-check enable
set strong-crypto disable
set tcp-halfclose-timer 120
set tcp-halfopen-timer 10
set tcp-option enable
set tcp-timewait-timer 1
set timezone 31
set tos-based-priority medium
set two-factor-email-expiry 60
set two-factor-ftm-expiry 72
set two-factor-sms-expiry 60
set udp-idle-timer 180
set use-usb-wan disable
set user-server-cert “self-sign”
set vdom-admin disable
set vip-arp-range restricted
set virtual-server-hardware-acceleration enable
set wifi-ca-certificate “PositiveSSL_CA”
set wifi-certificate “Fortinet_Wifi”
set wimax-4g-usb disable
set wireless-controller enable
set wireless-controller-port 5246
set fds-statistics-period 60
end

Test-FW1 # show system interface port1
config system interface
edit “port1”
set vdom “root”
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”
set snmp-index 1
next
end

Test-FW1 # show system interface port1 | grep ip
set ip 10.106.130.254 255.255.255.0

Test-FW1 # show system interface port1 | grep -A3 ip
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”

Test-FW1 # get system info admin status
Index User name Login type From
Logged in users: 2
USERNAME TYPE FROM TIME
admin https 195.8.173.90 Fri May 1 15:22:10 2015

admin ssh 195.8.173.90 Fri May 1 15:22:40 2015

Test-FW1 # get system status
Version: FortiGate-300C v5.0,build0252,131031 (GA Patch 5)
Virus-DB: 25.00527(2015-04-30 13:11)
Extended DB: 25.00527(2015-04-30 13:10)
IPS-DB: 6.00638(2015-04-28 00:05)
IPS-ETDB: 0.00000(2000-00-00 00:00)
Serial-Number: XXXXXXXXXXXXXXXXX
Botnet DB: 2.00222(2015-04-30 10:30)
BIOS version: 04000022
System Part-Number: P09616-06
Log hard disk: Available
Hostname: Test-FW1
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 252
Release Version Information: GA Patch 5
System time: Fri May 1 15:29:13 2015

Test-FW1 # get hardware status
Model name: FortiGate-300C
ASIC version: CP6
ASIC SRAM: 64M
CPU: Intel(R) Celeron(R) CPU 440 @ 2.00GHz
Number of CPUs: 1
RAM: 2020 MB
Compact Flash: 30653 MB /dev/sda
Hard disk: 30533 MB /dev/sda
USB Flash: not available
Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)

Test-FW1 # get system performance status
CPU states: 0% user 1% system 0% nice 99% idle
CPU0 states: 0% user 1% system 0% nice 99% idle
Memory states: 34% used
Average network usage: 35256 kbps in 1 minute, 30648 kbps in 10 minutes, 28031 kbps in 30 minutes
Average sessions: 4097 sessions in 1 minute, 3672 sessions in 10 minutes, 3448 sessions in 30 minutes
Average session setup rate: 19 sessions per second in last 1 minute, 24 sessions per second in last 10 minutes, 26 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 57 days, 5 hours, 34 minutes

Test-FW1 # get system performance top
Run Time: 57 days, 5 hours and 34 minutes
0U, 0S, 100I; 2020T, 1329F, 211KF
ipsengine 71 S < 0.9 3.4
urlfilter 78 S 0.0 2.7
miglogd 47 S 0.0 1.5
proxyworker 28366 S 0.0 1.1
httpsd 121 S 0.0 1.0
scanunitd 30910 S < 0.0 0.9
pyfcgid 31805 S 0.0 0.9
pyfcgid 31806 S 0.0 0.9
pyfcgid 31807 S 0.0 0.9
pyfcgid 31804 S 0.0 0.9
cmdbsvr 40 S 0.0 0.9
sslvpnd 83 S 0.0 0.9
httpsd 116 S 0.0 0.9
httpsd 49 S 0.0 0.6
httpsd 115 S 0.0 0.6
newcli 31814 R 0.0 0.6
newcli 31793 S 0.0 0.6
iked 86 S 0.0 0.6
scanunitd 30911 S < 0.0 0.6
updated 87 S 0.0 0.6

Test-FW1 # show system interface
config system interface
edit “port1”
set vdom “root”
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”
set snmp-index 1
next
edit “port2”
set vdom “root”
set ip 172.16.29.2 255.255.255.248
set allowaccess ping https ssh fgfm
set type physical
set alias “Local”
set device-identification enable
set snmp-index 2
next

Test-FW1 # diagnose hardware deviceinfo nic
The following NICs are available:
port1
port10
port2
port3
port4
port5
port6
port7
port8
port9

Test-FW1 # diagnose hardware sysinfo memory
total: used: free: shared: buffers: cached: shm:
Mem: 2118496256 724090880 1394405376 0 138346496 253218816 221343744
Swap: 0 0 0
MemTotal: 2068844 kB
MemFree: 1361724 kB
MemShared: 0 kB
Buffers: 135104 kB
Cached: 247284 kB
SwapCached: 0 kB
Active: 248652 kB
Inactive: 133808 kB
HighTotal: 262144 kB
HighFree: 4 kB
LowTotal: 1806700 kB
LowFree: 1361720 kB
SwapTotal: 0 kB
SwapFree: 0 kB

Test-FW1 # get system global
admin-concurrent : enable
admin-console-timeout: 0
admin-https-pki-required: disable
admin-https-redirect: disable
admin-lockout-duration: 60
admin-lockout-threshold: 3
admin-maintainer : enable
admin-port : 12080
admin-scp : disable
admin-server-cert : Fortinet_Factory
admin-sport : 12443
admin-ssh-grace-time: 120
admin-ssh-port : 1222
admin-ssh-v1 : disable
admin-telnet-port : 23
admintimeout : 20
allow-traffic-redirect: enable
anti-replay : strict
auth-cert : self-sign
auth-http-port : 1000
auth-https-port : 1003
auth-keepalive : disable
auth-policy-exact-match: enable
av-failopen : pass
av-failopen-session : disable
batch-cmdb : enable
block-session-timer : 30
cert-chain-max : 8
cfg-save : automatic
check-protocol-header: loose
check-reset-range : disable
clt-cert-req : disable
csr-ca-attribute : enable
daily-restart : disable
dst : enable
endpoint-control-fds-access: enable
endpoint-control-portal-port: 8009
explicit-proxy-auth-timeout: 300
fds-statistics : enable
fgd-alert-subscription: advisory latest-threat
forticlient-reg-port: 8010
gui-antivirus : enable
gui-ap-profile : enable
gui-application-control: enable
gui-central-nat-table: disable
gui-certificates : enable
gui-client-reputation: enable
gui-dlp : enable
gui-dns-database : disable
gui-dynamic-profile-display: disable
gui-dynamic-routing : enable
gui-endpoint-control: enable
gui-explicit-proxy : enable
gui-icap : disable
gui-implicit-policy : enable
gui-ips : enable
gui-ipsec-manual-key: disable

Test-FW1 # get system global | grep time
admin-console-timeout: 0
admin-ssh-grace-time: 120
admintimeout : 20
block-session-timer : 30
explicit-proxy-auth-timeout: 300
ldapconntimeout : 500
login-timestamp : disable
remoteauthtimeout : 5
tcp-halfclose-timer : 120
tcp-halfopen-timer : 10
tcp-timewait-timer : 1
timezone : (GMT+2:00)Athens,Istanbul,Minsk,Sofija
udp-idle-timer : 180

Test-FW1 # get system global | grep -i timer
block-session-timer : 30
tcp-halfclose-timer : 120
tcp-halfopen-timer : 10
tcp-timewait-timer : 1
udp-idle-timer : 180

Test-FW1 # get system session
session System session.
session-helper Configure session helper.
session-helper-info session-helper-info
session-info session-info
session-sync Configure session synchronization.
session-ttl Configure session TTL.

Test-FW1 # get system session-ttl
default : 3600
port:

Test-FW1 # diagnose ip address list
IP=172.16.29.2->172.16.99.2/255.255.255.248 index=9 devname=port2
IP=10.106.130.254->10.106.0.254/255.255.255.0 index=10 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=14 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm

Test-FW1 # get system interface physical
== [onboard]
==[port1]
mode: static
ip: 10.106.130.254 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)
==[port2]
mode: static
ip: 172.16.29.2 255.255.255.248
ipv6: ::/0
status: up

Test-FW1 # get system interface physical | grep -A5 port1
==[port1]
mode: static
ip: 10.106.130.254 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)

Test-FW1 # diagnose ip arp list
index=14 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=22717 confirm=28717 update=22717 ref=1
index=12 ifname=port3 10.100.0.14 f8:bc:12:94:f7:18 state=00000004 use=5676 confirm=5180 update=1566 ref=1
index=11 ifname=port4 10.101.0.20 30:d6:c9:46:bf:f1 state=00000004 use=13056 confirm=13056 update=9843 ref=7
index=11 ifname=port4 10.101.0.21 28:6a:ba:72:cc:2f state=00000004 use=7449 confirm=7449 update=4236 ref=6
index=11 ifname=port4 10.101.0.33 74:81:14:4b:fa:c1 state=00000004 use=23376 confirm=26012 update=3587 ref=2
index=11 ifname=port4 10.101.0.49 f8:01:13:03:70:5d state=00000004 use=13622 confirm=13622 update=1556 ref=17
index=11 ifname=port4 10.101.0.53 bc:72:b1:54:43:ad state=00000002 use=2059 confirm=1557 update=1557 ref=13
index=11 ifname=port4 10.101.0.65 84:3a:4b:05:7f:d6 state=00000004 use=32977 confirm=32977 update=2428 ref=4

Test-FW1 # diagnose ip arp list | grep 10.101.0.24
index=11 ifname=port4 10.101.0.243 18:ee:69:72:1f:f6 state=00000004 use=13807 confirm=13807 update=7036 ref=3
index=11 ifname=port4 10.101.0.246 00:1f:3b:15:f0:59 state=00000002 use=1 confirm=1504 update=1504 ref=925
Test-FW1 # get system session status
The total number of sessions for the current VDOM: 3326

Test-FW1 # get system session-info full-stat
session table: table_size=524288 max_depth=3 used=6719
expect session table: table_size=8192 max_depth=0 used=0
misc info: session_count=3295 exp_count=0 clash=71 memory_tension_drop=0 ephemeral=0/114688 removeable=0
delete=0, flush=0, dev_down=0/0
TCP sessions:
628 in ESTABLISHED state
86 in SYN_SENT state
3 in SYN_RECV state
10 in FIN_WAIT state
9 in TIME_WAIT state
38 in CLOSE state
31 in CLOSE_WAIT state
firewall error stat:
error1=00000000
error2=00000000
error3=00000000
error4=00000000
tt=00000000
cont=06a4ef64
ids_recv=22557c95
url_recv=00000000
av_recv=11323971
fqdn_count=00000000
tcp reset stat:
syncqf=5584 acceptqf=0 no-listener=5444 data=0 ses=21 ips=0

Test-FW1 # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
udp 38 10.101.0.87:9558 123.123.123.123:9558 113.24.213.207:8687 –
udp 159 10.101.0.87:9558 123.123.123.123:9558 213.5.89.166:9934 –
udp 121 10.102.0.4:43551 123.123.123.123:43551 178.90.31.45:5963 –
udp 147 10.101.0.87:9558 123.123.123.123:9558 12.157.84.254:8518 –
udp 60 10.200.0.59:6881 123.123.123.123:6881 109.17.198.27:6882 –

Test-FW1 # get system arp
Address Age(min) Hardware Addr Interface
10.111.0.20 0 10:d6:c9:46:bf:f1 port4
10.111.0.21 0 22:6a:ba:72:cc:2f port4
10.111.0.33 8 70:81:14:4b:fa:c1 port4
10.111.0.49 0 f8:11:13:03:70:5d port4
10.111.0.53 1 bc:32:b1:54:43:ad port4
10.111.0.65 3 84:4a:4b:05:7f:d6 port4
10.111.0.87 0 7c:75:91:38:b4:45 port4
10.111.0.99 3 90:80:6c:18:29:da port4

Test-FW1 # get router info routing-table static
S* 0.0.0.0/0 [10/0] via 123.123.123.122, port8
S 10.110.0.0/16 [10/0] is directly connected, VPN1-P1
S 10.114.0.0/16 [10/0] is directly connected, VPN2-P1
S 10.150.0.0/24 [10/0] via 172.26.98.1, port5

Test-FW1 # get router info routing-table all
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default

S* 0.0.0.0/0 [10/0] via 123.123.123.122, port8
S 10.110.0.0/16 [10/0] is directly connected, VPN1-P1
S 10.114.0.0/16 [10/0] is directly connected, VPN2-P1
S 10.150.0.0/24 [10/0] via 172.26.98.1, port5

Test-FW1 # show router static
config router static
edit 1
set device “port8”
set gateway 123.123.123.122
next
edit 2
set device “port2”
set dst 10.112.0.0 255.255.255.0
set gateway 172.16.19.1
next
Test-FW1 # get router info kernel
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.10/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.210/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.10/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.208/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.8/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.8/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=253 type=1 proto=2 prio=0 0.0.0.0/0.0.0.0/0->123.123.123.122/30 pref=123.123.123.123 gwy=0.0.0.0 dev=7(port8)