UBNT Nanostation M5 üzerinden vlan taşıma

UBNT serisi cihazlarla iki uzak mesafe arasında wireless üzerinden hızlı ve kaliteli bir şekilde veri transferi yapabiliyoruz. Peki taglenmeyen vlan 1 harici bir vlanı taşımak için ne yapmamız gerekiyor?

ubnt1

 

Bu noktada şunları yapmamız yeterli olacaktır.

  1. Access pointleri bağladığımız portları trunk yapmalı ve geçmesini istediğimiz vlan’lara izin vermeliyiz.
  2. Access pointlerde WDS(transparent bridge mode) ‘u enable etmeli; access pointlerden birisini station, diğerini de access point mode’una almamız gerekmektedir.

 

 

 

 

 

ubnt2

 

 

Bunları yaptıktan cihazlar artık gelen paketlerin vlan tag’li olup olmadığına bakmadan direk olarak taşımaya başlayacaklardır.

 

Okuduğunuz için teşekkürler.

Cisco ASA Firmware Upgrade Prosedürü     

Yaklaşık 7 yıldır bazı dönemler az bazı dönemlerde aşırı yoğun şekilde Cisco ASA (Adaptive Security Appliance) firewall ailesi ile çalışıyorum. Cisco’da firewall tarafı PIX ile başlayıp, 5500 serisi, 5500-X serisi, IPS modüllü, CX modüllü, sourcefire modüllü şeklinde gitmektedir. Bu süreç içerisinde ortak olan bir konu var o da iş firmware upgrade’i yapmaya geldiğinde upgrade path’ini (sorunsuz geçiş için takip edilmesi gereken yol) gerçekten anlamış ve uygulamış olmanın gerekmesidir.

asa_upgrade1

asa_upgrade2

asa_upgrade3

asa_upgrade4

 

asa_upgrade5

 

 

Peki bu upgrade path’i neden bu kadar önemli ?

Öncelikle upgrade’lerden beklentimiz bu geçişin sorunsuz yapılmasıdır. Sorunsuzluktan kastımız da tabiki 1000+ kural olan bir firewall’da geçiş sonrası konfigürasyonda kayıplar, eksikler veya hatalar oluşmaması ve cihazın performans olarak yeni sürüme uyumsuz olmamasıdır.

Şu anda çalışan ASA’lara baktığımızda üzerlerindeki code (versiyon) genellikle 7.x , 8.x ve 9.x ‘tir. Tabiki bütün ASA aileleri bu sürümlerin hepsini çalıştıramaz. Örneğin 5500-X olarak çıkan yeni nesil firewall’lar sadece 8.6 veya 9.x ile çalışabilirler (Daha eski sürümlerle çalışabilen 5585-X hariç). Ya da ilk ASA ailesi olan 5500 serisi modeline göre 7.x,  8.0, 8.1, 8.2, 8.3, 8.4 ve  9.x çalıştırabildiği gibi 8.5 , 8.6 veya 8.7 çalıştıramaz. Son olarak ASA 1000V olarak adlandırılan data center seviyesi cloud firewall sadece 8.7 versiyonu ile çalışır.

Upgrade yapacak ise bütün bu durumları bilmemiz gerekiyor. Aksi taktirde elimizdeki 5510 serisi firewall’umuzu 8.3’ten 8.7 ‘ye çıkarmak için saçımızı başımızı yolmamız an meselesi haline gelebilir  🙂

Peki bütün bu bilgileri nereden edineceğiz sorusuna cisco’nun hangi platform’da hangi code’u çalıştırmalıyız şeklinde verdiği matrix  ile cevap verebiliriz.

 

Tablo1 – Code Uyumluluğu

ASA OS
ASDM
ASA Model
ASA 5505
ASA 5510, 5520, 5540
ASA 5550
ASA 5580
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
ASA 5585-X
ASASM
ASA 1000V
ASA 7.0
ASDM 5.0.Recommended: 5.0(8).
No
YES
No
No
No
No
No
No
ASA 7.1(1)
ASDM 5.1.Recommended: 5.1(2).
No
YES
No
No
No
No
No
No
ASA 7.1(2)
ASDM 5.1(2)
No
YES
YES
No
No
No
No
No
ASA 7.2
ASDM 5.2.Recommended: 5.2(4).
YES
YES
YES
No
No
No
No
No
ASA 8.0(2)
ASDM 6.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(3)
ASDM 6.0(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(4)
ASDM 6.1(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(5)
ASDM 6.2(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.1(1)
ASDM 6.1(1) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.1(2)
ASDM 6.1(5) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.2(1)
ASDM 6.2(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(2)
ASDM 6.2(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(3)
ASDM 6.3(4) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(4)
ASDM 6.3(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(5)
ASDM 6.4(3) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.3(1)
ASDM 6.3(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.3(2)
ASDM 6.3(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.4(1)
ASDM 6.4(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(2)
ASDM 6.4(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(3)
ASDM 6.4(7) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(4.1)1
ASDM 6.4(9) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(5)
ASDM 7.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(6)
ASDM 7.1(2.102) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.5(1)
ASDM 6.5(1).
No
No
No
No
No
No
YES
No
ASA 8.6(1)
ASDM 6.6(1).
No
No
No
No
YES
No
No
No
ASA 8.7(1.1)2
ASDM 6.7(1).
No
No
No
No
No
No
No
YES
ASA 9.0(1)
ASDM 7.0(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(2)
ASDM 7.1(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(3)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(1)
ASDM 7.1(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(2)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No

 

Bu tabloya göre hareket ederek upgrade’i yapmamız sizce yeterli midir? Malesef hayır. Dikkat etmemiz gereken bir diğer konu daha var, o da cihazların üzerindeki memory (RAM) ile yeni code’un gereksinimi olan memory’i karşılamamız.

 

Tablo2 – Ram İhtiyacı

ASA Model Internal Flash Memory (Default Shipping) DRAM (Default Shipping)
Before Feb. 2010 After Feb. 2010 (Required for 8.3 and Higher)
5505 128 MB 256 MB 512 MB
5510 256 MB 256 MB 1 GB
5520 256 MB 512 MB 2 GB
5540 256 MB 1 GB 2 GB
5550 256 MB 4 GB 4GB
5512-X 4 GB N/A 4 GB
5515-X 8 GB N/A 8 GB
5525-X 8 GB N/A 8 GB
5545-X 8 GB N/A 12 GB
5555-X 8 GB N/A 16 GB
5580-20 1 GB 8 GB 8GB
5580-40 1 GB 12 GB 12 GB
5585-X with SSP-10 2 GB N/A 6 GB
5585-X with SSP-20 2 GB N/A 12 GB
5585-X with SSP-40 2 GB N/A 12 GB
5585-X with SSP-60 2 GB N/A 24 GB
ASASM 8 GB N/A 24 GB

 

 

Her iki tablodaki bilgileri kullanarak elimizde şubat 2010 öncesi alınmış bir ASA varsa ve biz bunu 8.4’e upgrade etmek ister isek öncelikle Tablo1’e bakıp code için uyumluluğunu göreceğiz. Ardından da RAM ‘ini kontrol etmemiz gerekecektir.

ASAtest# show ver | i RAM
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1599 MHz

 

Görünüşe göre Tablo2 verileri bize bu cihazın RAM ‘inin 1GB’ya çıkarılması gerektiğini söylüyor. Buna göre mevcut donanım ile firmware upgrade ‘ini gerçekleştiremeyiz.

Upgrade path’inin neden önemli olduğunun tekrar altını çizdikten sonra nasıl olacağını konuşalım. Öncelikle bu konuda cisco’nun resmi olarak önerdiği yolu, yani üst seviyelere çıkmak için gereken versiyon geçişlerini izlemeliyiz. Bu yol bize tabiki code 7.0’dan 9.1’e sorunsuz geçeceğimizi söylemeyecek.

Bu noktada cisco’nun ASA’ların image’larını nasıl isimlendirdiği ile devam edelim. Image isimlerini şu şekilde göreceksiniz:

asaXYZ.bin

X: major release number
Y: minor number
Z: maintenance release number

Örneğin: asa841.bin

Şimdi kurallara geçelim:

  • ASA’lar için 8.3 versiyonu bir nevi milat. ASA’ların çalışma prensipleri 8.3 öncesi ve sonrası diye ikiye ayrılıyor. Bu sürümde NAT ve ACL yapısı değişiyor.
  • 8.3 veya sonrasına geçeceksek önerilen şekilde 8.2’ye geçiş yapmamız gerekiyor, diğer sürümlerden geçişi desteklemiyor.
  • Tavsiyem öncelikle üstteki tablolara göz atıp sonrasında gerekirse cisco tarafındaki dökümanlara bakmanız yönünde olacaktır.Aynı major ve minor versiyonlara sahip versiyonlar arasında sorunsuz geçiş yapabiliriz. Örneğin:  8.4.1 ‘den 8.4.7’ye geçebiliriz.
  • Bir minor release’den diğerine geçmek için arada minor release atlayamayız. Örneğin 8.0’dan 8.2’ye direk atlayamayız, arada 8.1’e geçmeliyiz.
  • Bir major release’den diğerine geçmek için ilgili major release içerisinde en son minor release’de olmamız gerekiyor. Örneğin 7.x’ten 8.x’e geçmek için en son sürüm olan 7.2’de olmamız gerekiyor. 7.1’den 8.0’a geçemeyiz.
  • 9.x’e geçmek için 8.3 veya 8.4 olmalıyız (5500 serisi için) ; 8.6 olmalıyız(5500-X serisi için)

Okuduğunuz için teşekkürler. Bir sonraki yazımızda görüşmek üzere.

 

HP Procurve Switch Üzerinde DHCP Server Konfigürasyonu

Uzun bir aradan sonra yazılara kaldığım yerden devam ediyorum. Bu yazımda ihtiyaç duyduğumuzda HP Procurve serisi bir switch’i  DHCP sunucu olarak çalıştırmayı anlatacağım. Genelde yaptığımız kurulumlarda ya da testlerde anlık olarak DHCP sunucu ihtiyacı olabiliyor. Bunun için ya windows tabanlı bir sunucu üzerinde DHCP sunucu servisini açarak devreye alırız ya da elimizdeki router, switch ile bu işi hızlıca çözmeye çalışırız.

Cisco 2960, 3560, 3650,3750, vs serilerinde kullanılan komutlar genelde standarttır ve hemen hemen hepsi DHCP server olarak çalıştırılabilir. Fakat HP procurve serisi üzerinde hem kullandığımız switch modelinin hem de üzerindeki yazılımın bu desteği vermesi gerekmektedir.

Son olarak bir kurulum sırasında 2920 switchi DHCP sunucu olarak konfigüre etmek istediğimde dhcp-server şeklinde bir config parametresi olmadığını gördüm. Fakat bildiğim kadarıyla HP procurve serisi L3 çalışabilen 2910, 2920 gibi cihazlarda dhcp sunucu desteği olmalıydı.

2920Switch# conf t
2920Switch(config)# dhcp?
dhcp
dhcp-relay
dhcp-snooping

Biraz araştırdığımda switchin ilgili firmware’inde DHCP server desteği yoktu.

2920Switch(config)# sh ver
Image stamp:    /ws/swbuildm/rel_orlando_qaoff/code/build/anm(swbuildm_rel_orlando_qaoff_rel_orlando)
Apr  4 2011 10:14:29
WB.15.12.15
1506

Boot Image:     Primary

Release note’larda yazdığına göre DHCP server desteği için firmware’in minimum Wx.15.16.0004 olması gerekiyordu. Ben de gerekli upgrade işlemini gerçekleştirdikten sonra tekrar kontrol ettiğimde feature’ın aktifleştiğini gördüm.

2920Switch(config)# dhcp?

dhcp
dhcp-relay
dhcp-server
dhcp-snooping

 

Ardından konfigürasyona başladım.
1- Öncelikle hangi vlan için bu ip dağıtım işini yapacaksak ilgili vlan’da dhcp-server ‘ı enable ediyoruz.

2920Switch(config)# vlan 11
2920Switch(vlan-11)# dhcp-server
2920Switch(vlan-11)#exit

2- Global config modda dhcp server için gerekli pool’u oluşturuyoruz. Pool’umuzun altındaki
a. Default-router : default gateway
b. Dns-Server : dns sunucu ip’si
c. Domain name : bulunduğumuz domain
d. Network : dağıtacağımız ağın subneti
e. Range : ip olarak dağıtacağımız aralık
Belirtmektedir.

2920Switch(config)# dhcp-server pool "Users"
2920Switch(Users)#  authoritative
2920Switch(Users)#  default-router 192.168.11.1
2920Switch(Users)#  dns-server 192.168.10.250
2920Switch(Users)#  domain-name "test.com"
2920Switch(Users)#  network 192.168.11.0 255.255.255.0
2920Switch(Users)#  range 192.168.11.10 192.168.11.250
2920Switch(Users)#  exit

3- Son olarak dhcp-server’ı servis olarak enable ediyoruz.

2920Switch(config)#  dhcp-server enable
2920Switch(config)#  exit

Konfigürasyon bittikten sonra bir pc ‘yi switchin ilgili vlan’ına alınmış porta bağlayarak testlere başlayalım.

2920Switch# sh dhcp-server 

 Configuration and Status - DHCP Server

  DHCP Server Enabled       : Yes 
  Traps Enabled             : Yes 
  Persistent Lease Database : No    
  Conflict Logging Enabled  : No  
  DHCP VLAN Interfaces      : 11          

2920Switch# sh dhcp-server binding 

 Status and Counters - DHCP Server Bindings

   Pool : Users                           

  IP Address       Hardware Address Lease Expiration               Type      
  ---------------- ---------------- ------------------------------ ----------
  192.168.11.10    10aa48-802099    Nov 29 2015 11:26:08           Dynamic   
  192.168.11.11    44dde6-e4683c    Nov 29 2015 13:55:47           Dynamic   
  192.168.11.13    44aae6-e593fb    Nov 28 2015 18:40:03           Dynamic   
  192.168.11.14    f0aaa2-969a28    Nov 29 2015 14:51:49           Dynamic   
  192.168.11.15    44aa5b-c16289    Nov 29 2015 12:06:59           Dynamic   
  192.168.11.18    44aae6-e4a10d    Nov 29 2015 08:27:06           Dynamic   
  192.168.11.19    68bb28-8a269e    Nov 29 2015 13:01:20           Dynamic   
 
 
2920Switch# sh dhcp-server pool 

 Status and Counters - DHCP Server Pools

  Pool           : Users                            
  Lease Period   : 1:00:00   
  Low Threshold  : 49        
  High Threshold : 193       
  Free Leases    : 233       

Ek olarak DHCP sunucu üzerinde static binding veya başka herhangi bir değişiklik yapmak istesek ne yapacağız?
Öncelikle dhcp-server servisini global olarak durduruyoruz(nedenini sormayın HP öyle istiyor :)).

2920Switch(config)# dhcp-server disable

Ardından binding için gerekli konfigürasyonu yapıyoruz. Buradaki örneğimizde mac adresi aabbcc-ddeeff olan bir cihaza 192.168.11.25’i verecek olalım.

2920Switch(config)# dhcp-server pool "Users"
2920Switch(Users)#   static-bind ip 192.168.11.25 255.255.255.255 mac aa:bb:cc:dd:ee:ff
2920Switch(config)#   exit
2920Switch(config)#   dhcp-server enable
2920Switch# sh dhcp-server binding 

 Status and Counters - DHCP Server Bindings

   Pool : Users                           

  IP Address       Hardware Address Lease Expiration               Type      
  ---------------- ---------------- ------------------------------ ----------
  192.168.11.10    10aa48-812099    Nov 29 2015 11:26:08           Dynamic   
  192.168.11.11    44dde6-e2383c    Nov 29 2015 13:55:47           Dynamic   
  192.168.11.13    44aae6-e343fb    Nov 28 2015 18:40:03           Dynamic   
  192.168.11.14    f0aaa2-966728    Nov 29 2015 14:51:49           Dynamic   
  192.168.11.15    44aa5b-c45255    Nov 29 2015 12:06:59           Dynamic   
  192.168.11.18    44aae6-e4a154    Nov 29 2015 08:27:06           Dynamic   
  192.168.11.19    68bb28-8a223a    Nov 29 2015 13:01:20           Dynamic   
  192.168.11.25    aabbcc-ddeeff    Nov 29 2015 12:13:01           Dynamic

Herhangi bir procurve switch DHCP sunucu servisi çalıştırmak istediğinizde öncelikle desteğinin olup olmadığını kontrol etmenizi tavsiye ederim.
Şurada 2920 için alttaki gibi bir ifade bulunduğunu ve bu desteği verdiğini görebilirsiniz.

L3 services
• NEW DHCP server
Centralizes and reduces the cost of IPv4 address management