CUCM (Call Manager) LDAP Integration & Authentication

Ip Telephony çözümü olarak CUCM kullanılan networklerde kullanıcı yönetimi (user management), yaptığımız kurulumlarda üzerinden geçilecek konuların başında gelmektedir. Çoğunlukla şu amaçlar için kullanıyoruz:

  • Userları telefonlarla eşleştirme,
  • Lisans kullanımının hesaplanması,
  • jabber kullanımı,
  • Voicemail
  • Kullanıcıların enduser sayfasına girerek kısa kodla arama vs. işlerini tamamlamaları.

End user oluşturmak ve yönetibilmek için  2 alternatifimiz var:

1- Local user: bütün kullanıcı adı, şifre, PIN, DN(Directory Number) biz oluşturmalı, güncellemeli ve yönetmeliyiz.

2- LDAP Entegrasyonu: LDAP protokolü ile microsoft AD(Active Directory) üzerinden girili bilgileri çekme.

Bu yazımızda AD ortamında oluşturulmuş kullanıcıları entegre edip, authentication işleminin nasıl yapıldığını anlatacağım. AD günümüz IT dünyasında sistem, network, storage ve yazılım gibi bir çok ana sektörün dizin hizmetini alabilmek için kullandığı bir platformdur. Detaylı bilgi için şuraya bakabilirsiniz.

Şimdi CUCM üzerinde bu işlemleri nasıl yaptığımıza bakalım.

Öncelikle LDAP integration ve synchronization kavramlarının ne demek olduğunu açıklayalım.

LDAP Integration: CUCM, LDAP üzerinden kullanıcı adı, telefon numarası, mail adresi gibi bilgileri çeker. Password’ü her kullanıcı için tek tek admin girmelidir.

LDAP Authentication: LDAP Integration yapıldıktan sonra, authentication da yapılarak ayrıca ilgili kullanıcının password bilgileri de çekilir. CUCM admin’inin user’ların password’leri ile ilgili herhangi bir aksiyon almasına gerek kalmaz. Active directory’de o kullanıcı ile işlem yapıldığında nasıl bilgisayarında oturum açma, maillerine ulaşma gibi bir çok uygulama etkileniyor ise aynı şekilde call manager  tarafı da etkilenecektir.

Active Directory entegrasyonu ile başlayalım. CUCM Administration sayfasına girdiğimizde System –> LDAP altında alttaki seçenekleri göreceğiz.

cucm_ad11

1- Öncelikle System  –> LDAP –> LDAP System altına girerek bir LDAP sunucusundan senkronizasyon yapabilmeyi aktifleştiriyoruz.

cucm_ad1

2- Bu adımda ise bir LDAP sunucu tanımlayarak senkronizasyonu başlatıyoruz. Yapmamız gereken System –> LDAP  –> LDAP Directory altına girerek işaretli parametrelerin girişini yapmış olmak.

Bu noktada şunu belirtmekte fayda var. Kullanacağınız LDAP manager hesabının tüm kullanıcı ve dizinleri okuma yetkisinin olması gereklidir. Fakat ayrı bir kullanıcı açıp, local-admin yetkisi vererek yapmanız bence daha uygun olur.

cucm_ad2

 

cucm_ad3Daha sonra perform full sync now diyerek User Management  –> End User’ a bakıyoruz.

cucm_ad6

 

 

 

cucm_ad4

İlgili OU altındaki tüm kullanıcıların gelmiş olması gerekiyor. Eğer gelmiyorsa,

  • – LDAP manager name/password,
  • – User search base,
  • – LDAP server ip address

kontrol edilmelidir.

Aşağıda örnek bir end user bulunuyor.  Dikkat: Password’ün  kontrolü buradan yapılıyor!

 cucm_ad5

LDAP Directory altında daha sonra yapılan tüm işlemler sonrası perform full sync now dememiz gerekiyor.

cucm_ad6

3- LDAP senkronizasyonu bittikten sonra bu adımda authentication’ı da LDAP sunucu üzerinden yapacağız. System –> LDAP  –> LDAP Authentication altına gelerek LDAP directory için kullandığımız parametreleri burada da kullanıyoruz. Verileri girdikten sonra Save butonuna tıklamamız yeterlidir.

cucm_ad7

User Management  –> End User ’ a baktığımızda ise password yönetiminin artık LDAP sunucuya (AD) geçtiğini görebiliriz.

cucm_ad8

4- Son olarak System –> LDAP –> LDAP Custom Filter ‘ın ne işe yaradığını anlatacağım. Bu zamana kadar bir OU’nun altında ne kadar kullanıcı var ise çektik. Sizden telefon kullanan 15 kullanıcının, 150 kullanıcılık bir OU içerisinden çekilmesi istense ne yapardınız? Cevap: LDAP ipPhone Filter.

Bunun için  System –> LDAP –> LDAP Custom Filter altına girip filtremizi oluşturmamız gerekiyor. Altta ipPhone için örnek bir filtre bulunmaktadır.

cucm_ad9

Bu filtre tabiki tek başına yeterli değil. Bunu LDAP directory altında enable etmek gerekiyor.

cucm_ad10

 

Bu filtre ile artık sadece ipPhone kısmına telefon numarası girilmiş kullanıcıları çekeceğiz.

Okuduğunuz için teşekkürler.

Cisco ASA Firmware Upgrade Prosedürü     

Yaklaşık 7 yıldır bazı dönemler az bazı dönemlerde aşırı yoğun şekilde Cisco ASA (Adaptive Security Appliance) firewall ailesi ile çalışıyorum. Cisco’da firewall tarafı PIX ile başlayıp, 5500 serisi, 5500-X serisi, IPS modüllü, CX modüllü, sourcefire modüllü şeklinde gitmektedir. Bu süreç içerisinde ortak olan bir konu var o da iş firmware upgrade’i yapmaya geldiğinde upgrade path’ini (sorunsuz geçiş için takip edilmesi gereken yol) gerçekten anlamış ve uygulamış olmanın gerekmesidir.

asa_upgrade1

asa_upgrade2

asa_upgrade3

asa_upgrade4

 

asa_upgrade5

 

 

Peki bu upgrade path’i neden bu kadar önemli ?

Öncelikle upgrade’lerden beklentimiz bu geçişin sorunsuz yapılmasıdır. Sorunsuzluktan kastımız da tabiki 1000+ kural olan bir firewall’da geçiş sonrası konfigürasyonda kayıplar, eksikler veya hatalar oluşmaması ve cihazın performans olarak yeni sürüme uyumsuz olmamasıdır.

Şu anda çalışan ASA’lara baktığımızda üzerlerindeki code (versiyon) genellikle 7.x , 8.x ve 9.x ‘tir. Tabiki bütün ASA aileleri bu sürümlerin hepsini çalıştıramaz. Örneğin 5500-X olarak çıkan yeni nesil firewall’lar sadece 8.6 veya 9.x ile çalışabilirler (Daha eski sürümlerle çalışabilen 5585-X hariç). Ya da ilk ASA ailesi olan 5500 serisi modeline göre 7.x,  8.0, 8.1, 8.2, 8.3, 8.4 ve  9.x çalıştırabildiği gibi 8.5 , 8.6 veya 8.7 çalıştıramaz. Son olarak ASA 1000V olarak adlandırılan data center seviyesi cloud firewall sadece 8.7 versiyonu ile çalışır.

Upgrade yapacak ise bütün bu durumları bilmemiz gerekiyor. Aksi taktirde elimizdeki 5510 serisi firewall’umuzu 8.3’ten 8.7 ‘ye çıkarmak için saçımızı başımızı yolmamız an meselesi haline gelebilir  🙂

Peki bütün bu bilgileri nereden edineceğiz sorusuna cisco’nun hangi platform’da hangi code’u çalıştırmalıyız şeklinde verdiği matrix  ile cevap verebiliriz.

 

Tablo1 – Code Uyumluluğu

ASA OS
ASDM
ASA Model
ASA 5505
ASA 5510, 5520, 5540
ASA 5550
ASA 5580
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
ASA 5585-X
ASASM
ASA 1000V
ASA 7.0
ASDM 5.0.Recommended: 5.0(8).
No
YES
No
No
No
No
No
No
ASA 7.1(1)
ASDM 5.1.Recommended: 5.1(2).
No
YES
No
No
No
No
No
No
ASA 7.1(2)
ASDM 5.1(2)
No
YES
YES
No
No
No
No
No
ASA 7.2
ASDM 5.2.Recommended: 5.2(4).
YES
YES
YES
No
No
No
No
No
ASA 8.0(2)
ASDM 6.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(3)
ASDM 6.0(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(4)
ASDM 6.1(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(5)
ASDM 6.2(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.1(1)
ASDM 6.1(1) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.1(2)
ASDM 6.1(5) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.2(1)
ASDM 6.2(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(2)
ASDM 6.2(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(3)
ASDM 6.3(4) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(4)
ASDM 6.3(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(5)
ASDM 6.4(3) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.3(1)
ASDM 6.3(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.3(2)
ASDM 6.3(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.4(1)
ASDM 6.4(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(2)
ASDM 6.4(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(3)
ASDM 6.4(7) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(4.1)1
ASDM 6.4(9) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(5)
ASDM 7.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(6)
ASDM 7.1(2.102) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.5(1)
ASDM 6.5(1).
No
No
No
No
No
No
YES
No
ASA 8.6(1)
ASDM 6.6(1).
No
No
No
No
YES
No
No
No
ASA 8.7(1.1)2
ASDM 6.7(1).
No
No
No
No
No
No
No
YES
ASA 9.0(1)
ASDM 7.0(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(2)
ASDM 7.1(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(3)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(1)
ASDM 7.1(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(2)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No

 

Bu tabloya göre hareket ederek upgrade’i yapmamız sizce yeterli midir? Malesef hayır. Dikkat etmemiz gereken bir diğer konu daha var, o da cihazların üzerindeki memory (RAM) ile yeni code’un gereksinimi olan memory’i karşılamamız.

 

Tablo2 – Ram İhtiyacı

ASA Model Internal Flash Memory (Default Shipping) DRAM (Default Shipping)
Before Feb. 2010 After Feb. 2010 (Required for 8.3 and Higher)
5505 128 MB 256 MB 512 MB
5510 256 MB 256 MB 1 GB
5520 256 MB 512 MB 2 GB
5540 256 MB 1 GB 2 GB
5550 256 MB 4 GB 4GB
5512-X 4 GB N/A 4 GB
5515-X 8 GB N/A 8 GB
5525-X 8 GB N/A 8 GB
5545-X 8 GB N/A 12 GB
5555-X 8 GB N/A 16 GB
5580-20 1 GB 8 GB 8GB
5580-40 1 GB 12 GB 12 GB
5585-X with SSP-10 2 GB N/A 6 GB
5585-X with SSP-20 2 GB N/A 12 GB
5585-X with SSP-40 2 GB N/A 12 GB
5585-X with SSP-60 2 GB N/A 24 GB
ASASM 8 GB N/A 24 GB

 

 

Her iki tablodaki bilgileri kullanarak elimizde şubat 2010 öncesi alınmış bir ASA varsa ve biz bunu 8.4’e upgrade etmek ister isek öncelikle Tablo1’e bakıp code için uyumluluğunu göreceğiz. Ardından da RAM ‘ini kontrol etmemiz gerekecektir.

ASAtest# show ver | i RAM
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1599 MHz

 

Görünüşe göre Tablo2 verileri bize bu cihazın RAM ‘inin 1GB’ya çıkarılması gerektiğini söylüyor. Buna göre mevcut donanım ile firmware upgrade ‘ini gerçekleştiremeyiz.

Upgrade path’inin neden önemli olduğunun tekrar altını çizdikten sonra nasıl olacağını konuşalım. Öncelikle bu konuda cisco’nun resmi olarak önerdiği yolu, yani üst seviyelere çıkmak için gereken versiyon geçişlerini izlemeliyiz. Bu yol bize tabiki code 7.0’dan 9.1’e sorunsuz geçeceğimizi söylemeyecek.

Bu noktada cisco’nun ASA’ların image’larını nasıl isimlendirdiği ile devam edelim. Image isimlerini şu şekilde göreceksiniz:

asaXYZ.bin

X: major release number
Y: minor number
Z: maintenance release number

Örneğin: asa841.bin

Şimdi kurallara geçelim:

  • ASA’lar için 8.3 versiyonu bir nevi milat. ASA’ların çalışma prensipleri 8.3 öncesi ve sonrası diye ikiye ayrılıyor. Bu sürümde NAT ve ACL yapısı değişiyor.
  • 8.3 veya sonrasına geçeceksek önerilen şekilde 8.2’ye geçiş yapmamız gerekiyor, diğer sürümlerden geçişi desteklemiyor.
  • Tavsiyem öncelikle üstteki tablolara göz atıp sonrasında gerekirse cisco tarafındaki dökümanlara bakmanız yönünde olacaktır.Aynı major ve minor versiyonlara sahip versiyonlar arasında sorunsuz geçiş yapabiliriz. Örneğin:  8.4.1 ‘den 8.4.7’ye geçebiliriz.
  • Bir minor release’den diğerine geçmek için arada minor release atlayamayız. Örneğin 8.0’dan 8.2’ye direk atlayamayız, arada 8.1’e geçmeliyiz.
  • Bir major release’den diğerine geçmek için ilgili major release içerisinde en son minor release’de olmamız gerekiyor. Örneğin 7.x’ten 8.x’e geçmek için en son sürüm olan 7.2’de olmamız gerekiyor. 7.1’den 8.0’a geçemeyiz.
  • 9.x’e geçmek için 8.3 veya 8.4 olmalıyız (5500 serisi için) ; 8.6 olmalıyız(5500-X serisi için)

Okuduğunuz için teşekkürler. Bir sonraki yazımızda görüşmek üzere.

 

Cisco 4500-E / 4500-X Serisi Switchlerde Virtual Switching System (VSS) Teknolojisi ve Konfigürasyonu

Bu yazımda cisco 4500/6500 serisi switch ürün ailelerinde sıklıkla kullanılan Virtual Switching System (VSS) yani IT dilinde sıklıkla kullandığımız cluster, stacking teknolojisinden bahsedeceğim.

Amacımız 2 switchi alıp bu özel teknoloji ile birbirine bağlayarak:

– Active/Active çalışan bir yapı kurmak,
– Spanning-Tree bağımlılığını ortadan kaldırmak,
– “N” verim alacak iken  diğer switchi de yatırmadan çalıştırarak “2N” verim almak.

 

VSS1

VSS yaptığımız switchlerde data plane aynı anda her iki switchte de aktif olarak kullanılmaktadır. Bu da bize gateway yedekliliği sağlayan FHRP protokollere (HSRP, VRRP, etc.) göre daha fazla throughput sağlamaktadır. Yukarıdaki şekilden de görüleceği üzere mantıksal anlamda 2 switch tek bir switch gibi çalışmaktadır.

VSS’i 2 adet switch ile yapıyoruz. VSS’e üye switchler birbirlerine standard Gigabit veya 10 Gigabit Ethernet bağlantıları üzerinden Virtual Switch Link (VSL) ile bağlanmaktadır. VSL üzerinden switchler arasındaki control plane trafiğinin yanı sıra kullanıcı trafiği de geçmektedir. Gereksinimleri altta bulabilirsiniz.

Ben örnek olarak VSS’i 4500X serisi switchler üzerinde yapılandıracağım.

Gereksinimler:

  1. 4500-E / 6500 serisi switchlerde VSS yapılacak ise şaseler üzerinde benzer işleve sahip supervisor’lerin bulunması gerekmektedir. Örneğin:
    1. 4500-E için Supervisor Engine 7-E veya 7-LE bulunmalıdır.
  2. Cihazlar üzerinde aynı IOS ve ROM versiyonu bulunmalıdır.
  3. Lisans olarak mimimum IP base olmalıdır.
    Feature LAN Base IP Base Enterprise Service
    • Virtual Switching System (VSS

     

    No Yes
    (SUP7E only)
    Yes
    • Support for Layer 3 MEC—VSS with Layer 3 Multichassis EtherChannel (MEC) at the aggregation layer
    • Support for VSLP Fast Hello—With VSLP Fast Hello, the Catalyst 4500-X configured for VSS can now connect Access Switches that do not support the ePAgP protocol.
    • Support for VSL Encryption
    • Support for Asymmetrix chassis
    No Yes (SUP7E)No (SUP7LE) Yes (SUP7E)Yes (SUP7LE)
  4. 1G ve 10G ethernet bağlantısı desteği vardır. 4500’lerde tavsiye edilen 10G portlar üzerinden yapılmasıdır.

Konfigürasyon:

    1. Öncelikle 4500-X switchlerin IOS ve ROM versiyonlarını karşılaştırıyoruz. Farklılık varsa cisco tarafından tavsiye edilen versiyonlara geçiş yapıyoruz
Switch-01#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 1 minutes
Uptime for this control processor is 2 hours, 3 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

Switch-02#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 51 minutes
Uptime for this control processor is 2 hours, 53 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

2.Lisansları kontrol ederek, aynı seviyede olduklarını görüyoruz.

Switch-01#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

 

Switch-02#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

3. Virtual Switch Domain ve Switch Numaralarının Belirlenmesi

Dikkat: Virtual Domain ID aynı, switch ID farklı olmalıdır.

Switch-01#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-01(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-01(config-vs-domain)#switch 1 
Switch-01(config-vs-domain)#end
Switch-02#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-02(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-02(config-vs-domain)#switch 2 
Switch-02(config-vs-domain)#end 

4.VSL Port Channel Oluşturulması

Dikkat: Port-channel numaraları muhakkak farklı olmalıdır. Yoksa benim gibi aynı verip 2 saatinizi neden çalışmadığını çözmeye çalışmakla geçirebilirsiniz 🙂

Switch-01(config)#int port-channel 9 
Switch-01(config-if)#switchport 
Switch-01(config-if)#switch virtual link 1 
Switch-01(config-if)#no shut 
Switch-01(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans
Switch-02(config)#int port-channel 10 
Switch-02(config-if)#switchport 
Switch-02(config-if)#switch virtual link 1 
Switch-02(config-if)#no shut 
Switch-02(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans

5.VSL Port Konfigürasyonu

(Benim kurduğum topolojiye göre switchler birbirlerine 1/15 ve 1/16 portlarından bağlılar. Her switchin portunu bir önceki adıma göre channel-group’a atıyoruz.)

Switch-01(config)#int range te1/15 - 16 
Switch-01(config-if-range)#switchport mode trunk 
Switch-01(config-if-range)#channel-group 9 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-01(config-if-range)#exit 
Switch-02(config)#int range te1/15 - 16 
Switch-02(config-if-range)#switchport mode trunk 
Switch-02(config-if-range)#channel-group 10 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-02(config-if-range)#exit 

6.Virtual Switch Mode’a Geçiş

Switchlerin “Virtual Switch” mode’a geçiş yapmaları için gerekli komutu önce 1. switchte (reboot olup açıldıktan sonra), sonrasında da 2. switchte yazıyoruz.

Switch-01#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6451 bytes to 2781 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED
Switch-02#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6111 bytes to 2713 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED

Bu komutların girilmesinin ardından switchler kapanıp açılarak her switchin Virtual Switch mode’a geçiş yapmış ve VSS konfigürasyonunun tamamlanmış olması gerekiyor. Artık switch portlarının gösterimi de (module/port) şeklinde değil (switch/module/port) şeklinde olacaktır.

Doğrulama:

1. Artık sadece active olan switche console üzerinden bağlanabilir veya telnet/ssh yaptığımızda active switch üzerinde session açılmış olarak göreceğiz.

Passive olan switche console ile bağlanmak istediğimizde:

Switch-02-standby> Standby console disabled

şeklinde bir ekran ile karşılaşacağız.

Domain ID ve switch ID bilgisinin kontrolü için:

Switch-01#show switch virtual 

Executing the command on VSS member switch role = VSS Active, id = 1


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 1
Local switch operational role: Virtual Switch Active
Peer switch number           : 2
Peer switch operational role : Virtual Switch Standby

Executing the command on VSS member switch role = VSS Standby, id = 2


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 2
Local switch operational role: Virtual Switch Standby
Peer switch number           : 1
Peer switch operational role : Virtual Switch Active

2. Switchlerin VSS’teki rolleri için:

Switch-01#show switch virtual  role 

Executing the command on VSS member switch role = VSS Active, id = 1

RRP information for Instance 1

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   1      UP      FALSE(N )     100(100)  ACTIVE   0       0   
REMOTE  2      UP      FALSE(N )     100(100)  STANDBY  5305    6073

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No


Executing the command on VSS member switch role = VSS Standby, id = 2

RRP information for Instance 2

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   2      UP      FALSE(N )     100(100)  STANDBY  0       0   
REMOTE  1      UP      FALSE(N )     100(100)  ACTIVE   6073    5305

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No

3. VSL ile ilgili bilgi almak için

Switch-01#show switch virtual link 

Executing the command on VSS member switch role = VSS Active, id = 1


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te1/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off


Executing the command on VSS member switch role = VSS Standby, id = 2


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te2/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off

4. VSL Port Channel ile ilgili bilgiyi görüntülemek için

Switch-01#sh switch virtual link port-channel

Executing the command on VSS member switch role = VSS Active, id = 1

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

Executing the command on VSS member switch role = VSS Standby, id = 2

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

5. Son olarak da redundancy(yedeklilik) durumunu  ve switchlerdeki IOS, config register parametrelerini görüntülemek için

Switch-01#show switch virtual redundancy 

Executing the command on VSS member switch role = VSS Active, id = 1


                  My Switch Id = 1
                Peer Switch Id = 2
        Last switchover reason = none
    Configured Redundancy Mode = Stateful Switchover
     Operating Redundancy Mode = Stateful Switchover

Switch 1 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = ACTIVE
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = ACTIVE

Switch 2 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = STANDBY HOT (switchover target)
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = STANDBY


Executing the command on VSS member switch role = VSS Standby, id = 2

show virtual switch redundancy is not supported on the standby

Kişisel Not: 4500X serisi switchler 4500-E ve 6500 serisi ürünlere göre daha yeni olduğundan eski IOS’larında sıkca bug’a rastlayabilirsiniz. Bu ürünlerde mümkün olduğunda güncel firmware kullanmak faydanıza olacaktır.

Detaylı bilgi için 6500 serisi switchlerdeki Sıklıkla Sorulan Sorular kısmını inceleyebilirsiniz.

Windows 7 & 8 ‘in NTP Server Olarak Kullanılması

NTP (Network Time Protocol) ün kısaltmasıdır. Türkçesi Ağ Zaman Protokolü’dür. NTP, değişken gecikmeye sahip paket anahtarlamalı ağlar üzerindeki bilgisayarların saatlerinin eş zamanlanmasının sağlanması için kullanılan bir protokoldür. Protokol, jitter buffer kullanımı sayesinde özellikle değişken gecikmenin etkilerine karşı dirençli olacak şekilde tasarımlanmıştır.

NTP, hala kullanılan en eski  internet protokollerinden birisidir(1985’den beri).

NTP, UDP 123 no’lu port üzerinden çalışır.

Hemen hemen bütün network cihazları üzerinde NTP desteği olabileceği  ve kullanılabileceği gibi bizim için UC (unified communications) işlerinde zorunluluktur. Haberleşmenin temeli zaman senkronizasyonuna dayandığından ses konularında NTP göz ardı edilemez bir parametre olmuştur. Konu sadece sesin olduğu ortamda ortak zaman parametresinin olması ve takibi değil bazı özelliklerin çalışması için de olmazsa olmazdır.

Örneğin cucm (call manager) kurulumu yaparken geçerli bir NTP server veremez ve cihazın zaman senkronizasyonunu bu cihaz üzerinden yapamaz isek kurulumu sürdüremeyiz.

Her zaman üzerinde ntp server koşan bir sunucu bulmamız kolay olmadığından bu yazımızda windows 7 veya 8 işletim sistemine sahip bilgisayarımızı nasıl NTP server yapabileceğimizi konuşacağız.

Öncelikle bilgisayarımızda windows + R tuşuna basarak veya çalıştır kısmına “regedit” yazarak kayıt defterini açıyoruz.

wind7_8_ntp_server1

Sonrasında aşağıdaki adımları takip ediyor ve belirtilen yerlerdeki değişiklikleri yapıyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NTPServer\Enabled
‘Enabled’  yazan flag’in içerisine girerek 1’i seçiyoruz.

wind7_8_ntp_server2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Type’ı NTP olarak seçiyoruz.

wind7_8_ntp_server3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
‘Announce Flags’ kısmını daha güvenilir bir zaman kaynağı göstermesi için 5 olarak değiştiriyoruz.

wind7_8_ntp_server4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDispersion
‘LocalClockDispersion’ kısmını “0”(sıfır) olarak değiştiriyoruz.

wind7_8_ntp_server5

Bütün hepsini yaptıktan sonra windows time protokolünü stop/start yapıyoruz.

wind7_8_ntp_server6

Son olarak servislere girip W32Time servisinin çalıştığını gördükten sonra startup type: Automatic olarak değiştirerek windows makinemizi ntp server olarak ayarlamış oluyoruz.

wind7_8_ntp_server7

Sonrasında ister call manager, voice gateway ister router/switch/firewall için NTP sunucusu yerine windows makinemizi kullanabiliriz.

Uyarı: Makine üzerinde windows firewall kapalı olmalı veya NTP sunucunun düzgün çalışması için UDP 123 portunun açılması gerekir.

Cisco IOS Banner

Banner, cisco IOS/IOS XR/NX-OS işletim sistemlerine sahip router, switch, firewall gibi cihazlarda login olunup console, telnet, SSH gibi yöntemlerle erişildiğinde cihaz tarafından verilen karşılama, bilgilendirme mesajlarını içeren özelliktir.

Genelde router/switch gibi cihazlarda banner’ı 2 amaçla kullanırız:

  • Bağlanılan cihazla ilgili bilgilendirme amaçlı mesaj vermek,
  • Cihaza erişen kullanıcının erişim hakkı olup olmadığını sorgulayarak uyarı vermek.

Temelde 5 farklı banner tipi vardır:

  • banner motd 
  • banner login 
  • banner exec 
  • banner slip-ppp
  • banner incoming

Genel anlamda ben en fazla koyu olarak yazılanları kullanıyorum. Gereksiz bilgiye boğmadan bunları açıklamaya ve örneklemeye çalışacağım.

Banner MOTD(Message of The Day)

Login prompt’undan da önce gösterilir. Genellikle o günle ilgili geçici bir mesajı paylaşmak için kullanılır. Örn: “Bu routerda calisma yapilmaktadir. Lutfen cihazı reboot etmeyin.”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner motd $
Enter TEXT message.  End with the character '$'.
Bu mesaj MOTD mesajidir.
$
R1(config)#

Burada dikkat edilmesi gereken motd yazdıktan sonra bir işaret, parametre belirleyip(ben $ olarak belirledim) mesajı bitirdikten sonra yine bu işareti kullanarak mesajı sonlandırmamız gerekmektedir. Diğer tüm banner’larda da aynı mantık vardır.

Banner Login

Genellikle kalıcı mesajlar için kullanılır. MOTD sonrası gösterilir.
Örn: “Bu router’a yetkisiz erisim yasaktir!”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner login $
Enter TEXT message.  End with the character '$'.
Bu mesaj LOGIN mesajidir.
$
R1(config)#

 Banner EXEC

Login olduktan sonra gösterilir. Amaç yetkisiz kullanıcıların görmemesi gerekli mesajları user/privilege exec moda geçerken göstermektir.

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner exec $
Enter TEXT message.  End with the character '$'.
Bu mesaj EXEC mesajidir.
$
R1(config)#

Şimdi buraya kadar anlatılanları örneklerle inceleyelim.

Alttaki topolojiye göre R2’ye login olmuşken R1’e telnet ile erişelim.

banner1

R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open

Bu mesaj MOTD mesajidir.

Bu mesaj LOGIN mesajidir.


User Access Verification

Password: 

Görüldüğü üzere önce motd sonra ise login banner’ı görünmüştür. User/Privilege exec moda geçtiğimizde ise

Password: 
Bu mesaj EXEC mesajidir.

R1>en

şeklinde exec banner’ı ile karşılaşıyoruz.

Banner Tokens

Banner’ları banner token’lar ile özelleştirebiliriz. Yani önceden belirleyeceğimiz token’ları kullanarak ilgili router/switch/firewall için spesifik bir kelimeyi yazdırabiliriz.

Banner token listesi alttaki gibidir.

banner2

 

Detaylı bilgi için tıklayınız.

Örnek olarak altta ASA üzerinde yapılandırılmış bir konfiği bulabilirsiniz.

ASA8-4# 
ASA8-4# conf t
ASA8-4(config)# banner motd *
ASA8-4(config)# banner motd wellcome to $(hostname).$(domain)
ASA8-4(config)# banner motd Only authorized users are allowed to connect.
ASA8-4(config)# banner motd *
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end

Buna göre banner’ımız cihazda konfigüre edilmiş olan hostname ve domain name bilgisini kullanacaktır.

Telnet ile bağlanmaya çalıştığımızda karşılaşacağımız ekran alttaki gibidir:

asa_asdm8_nbanner

Cisco ASA ASDM Erişimi

ASDM (Adaptive Security Device Manager) Cisco’nun güvenlik ürünlerini GUI (grafik/görsel arayüz) üzerinden yönetmeye yarayan aracıdır.  Bu yazımızda temel alacağımız cihaz cisco’nun firewall ürünü olan cisco ASA ailesi olacaktır. ASA’ları temelde 2 şekilde yönetiyoruz:

1- CLI (Command Line Interface)
Cihaza telnet/ssh veya üzerindeki console portundan erişerek komut satırı yoluyla.

2-GUI (Graphical User Inteface)
Cihaza ASDM üzerinden bağlanıp görsel arayüzü üzerinden.

İleri düzey kullanıcılar CLI’yı daha fazla tercih ederken, giriş/orta seviye kullanıcılar da ağırlıkla ASDM ile yönetimi daha uygun bulmaktadırlar. Yazımıza ASDM’i nasıl aktif edebileceğimiz ile devam edelim.

Öncelikle yönetmek istediğimiz ASA’ya ip erişimimizin olması gerekiyor. Ben anlatacaklarımı aşağıdaki basit topoloji üzerinden yapacağım.

ASA: 192.168.216.10
PC: 192.168.216.1

asa_asdm0

ASA’ya ip’sini vererek PC’ye olan erişimi kontrol ediyoruz.

ASA

ASA8-4# conf t
ASA8-4(config)# int gigabitEthernet 1
ASA8-4(config-if)# ip address 192.168.216.10 255.255.255.0
ASA8-4(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA8-4(config-if)# no shutd
ASA8-4(config-if)# no shutdown 
ASA8-4(config-if)# 
ASA8-4(config-if)# 
ASA8-4(config-if)# end
ASA8-4# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset administratively down up 
GigabitEthernet1 192.168.216.10 YES manual up up 
GigabitEthernet2 unassigned YES unset administratively down up 
GigabitEthernet3 unassigned YES unset administratively down up 
ASA8-4# pin
ASA8-4# ping 192.168.216.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.216.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASA8-4# 

Yine aynı şekilde PC’de ASA’ya erişebilmeli.

PC

asa_asdm7

Sonra ASDM image dosyasının ASA’nın flash dizinine atılmış olması gerekiyor. Bu işlemi de PC üzerindeki image dosyasının TFTP server ile atarak gerçekleştiriyoruz.

Yazılım olarak 3CDaemon kullanılabilir. ASDM image’ını attığımız dosyayı yazılımda göstermemiz gerekiyor. Benim kullandığım image asdm-649-103.bin , cisco.com üzerinde hesabınız varsa indirebilirsiniz veya internet ‘teki bazı kaynaklardan bulabilirsiniz.

asa_asdm1

ASA üzerindeki şu komutlarla image’ı atabiliriz.

ASA8-4# sh flash: 
--#--  --length--  -----date/time------  path
    5  8192        Apr 15 2015 08:58:18  log
   14  8192        Apr 15 2015 08:58:20  coredumpinfo
  144  196         Apr 15 2015 08:58:20  upgrade_startup_errors_201504150858.log


536567808 bytes total (535527424 bytes free)
ASA8-4# 
ASA8-4(config)# copy tftp: flash:                              

Address or name of remote host [192.168.216.1]? 

Source filename [asdm-621.bin]? asdm-649-103.bin

Destination filename [asdm-649-103.bin]? 

Accessing tftp://192.168.216.1/asdm-649-103.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-649-103.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
19706880 bytes copied in 69.460 secs (285606 bytes/sec)
ASA8-4# dir flash:

Directory of disk0:/

5      drwx  8192         08:58:18 Apr 15 2015  log
14     drwx  8192         08:58:20 Apr 15 2015  coredumpinfo
144    -rwx  196          08:58:20 Apr 15 2015  upgrade_startup_errors_201504150858.log
179    -rwx  11348300     19:46:03 May 04 2015  asdm-649-103.bin
ASA8-4(config)# asdm image  flash:/asdm-649-103.bin

Sonra ASDM  üzerinden cihaza erişmemiz için gerekli komutları yazıyoruz.

ASA8-4# conf t
ASA8-4(config)# 
ASA8-4(config)# domain-name mehmetyeni.com
ASA8-4(config)# http server enable 
ASA8-4(config)# http 192.168.216.0 255.255.255.0 inside 
ASA8-4(config)# 
ASA8-4(config)# username mehmet password mehmet123 privilege 15
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end
ASA8-4# wr

 

 

Artık firewall’a ASDM üzerinden erişebilir durumdayız.
Browser’da bir sekme açarak https://192.168.216.100 ‘e bağlanmaya çalışıyoruz. Bağlantımızın gizli olmadığı ile ilgili bir hata alacağız. ASA üzerindeki sertifika bizim browser’da bulunmadığından, bunu dikkate almadan atlayabiliriz.

asa_asdm2

 

Açılan sayfada “Install ASDM Launcher and Run ASDM” e tıklıyoruz. Bize ismi dm-launcher olan bir dosya indirmeyi önerecek, bir klasöre bu dosyayı indiriyoruz.

 

asa_asdm3

Sonra indirdiğimiz dosyayı çift tıklayarak çalıştırıyoruz ve next next diyerek default parametrelerle programın kurulumunu tamamlıyoruz. Ardından alttaki gibi bir ekranla karşılacağız.

Burada device IP: cisco ASA ip address

username: oluşturduğumuz kullanıcı adı
password: oluşturduğumuz şifre

Verilerini girdikten sonra OK diyoruz.

 

asa_asdm4

 

Tekrar sertifika ile ilgili uyarı verecek. Yes diyerek ilerliyoruz.

asa_asdm5

 

Son olarak ASDM arayüzü açılıyor ve artık ASA’ya bağlanmış durumdayız. Bundan sonra istediğimiz gibi ASA ‘nın yönetimini gerçekleştirebiliriz.

asa_asdm6

 

Cisco Kablosuz Access Point Lightweight ‘ten Standalone Mode ‘a (ve Tersi Yönde) Dönüşüm

Yazımıza öncelikle kablosuz access pointler’in hangi mode’larda çalıştığını açıklayarak başlayalım.

Cisco Wireless Access Point (Kablosuz Erişim Noktası) cihazları da tıpki router’lar, switchler gibi üzerlerinde Cisco IOS (Internetworking Operating System) yazılımı bulunan cihazlardır. Temel olarak ya tek başlarına yayın yapacak şekilde(Autonomous/Standalone) veya Wireless LAN Controller(WLC) diye adlandırdığımız access point’lerin tek noktadan yönetmeye yarayan cihazlarla yönetilecek şekilde (Lightweight) çalışabilirler.

Bazen WLC ile çalışması için aldığınız access pointleri herhangi bir arıza veya ihtiyaç durumunda ya da örneğin evimize götürüp tek başına çalıştırmamız gerekebilir. Bu gibi durumlarda access point üzerindeki image (yazılım) WLC ile çalışacak yazılım ise bize istediğimizi veremeyecektir. Tam da bu durumda access point’in yazılımını değiştirmeli kısaca Standalone mode’a dönüştürmeliyiz.

Başlamadan önce access point üzerinde çalışan image’ların ne anlama geldiğini öğrenmemiz gerekiyor. Detaylı bilgi için şuraya bakabilirsiniz:

 

Senaryomuzda standalone mode’a dönüştürme işlemi için k9w7 image’ı kullanacağız.

Access pointimiz Cisco 1140.

IOS’umuz –> c1140-k9w7-tar.124-25d.JA.tar

 

LWAPP’tan Standalone’a Dönüşüm

Dönüştürme işlemine başmadan önce:

  • PC’mizi Access point’in ethernet portundan bağlıyoruz.
  • Eğer access pointimiz elektriğini switch üzerinden alıyor ise biz de bağlantımızı switch üzerinden yapmalıyız. Ayrıca access point ve PC’mizin aynı vlan’larda olmasına dikkat etmemiz gerekiyor !
  • Aşağıdaki yapıda
    • PC: 10.1.1.1/24
    • Access Point: 10.1.1.5/24

Ip’lerini kullanacaktır.

AP5475.e023.435f#sh ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Dot11Radio0                unassigned      NO  unset  up                    up
Dot11Radio1                unassigned      NO  unset  up                    up
GigabitEthernet0           unassigned      YES DHCP   up                  up

 

AP5475.e023.435f#debug capwap console cli   <-  Bu komutu yazmadan LWAP olarak çalışan access point “conf t” ‘yi kabul etmeyecektir.

AP5475.e023.435f#conf t
AP5475.e023.435f(config)#int g0
AP5475.e023.435f(config-if)#ip address 10.1.1.5 255.255.255.0
AP5475.e023.435f(config-if)#no shut

 

 

AP5475.e023.435f#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.!!!!

 

AP5475.e023.435f#archive download-sw /force-reload /overwrite tftp://10.1.1.1/c1140-k9w7-tar.124-25d.JA.tar

 

“examining image…
Loading c1140-k9w7-tar.124-25d.JA.tar from 10.1.1.1 (via GigabitEthernet0): !
extracting info (283 bytes)
Image info:
Version Suffix: k9w7-.124-25d.JA ………………..”

 

Dönüşüm işlemi bittikten sonra, operasyonunun başarılı olup olmadığını console bağlantısı için açtığımız oturum üzerinden de doğrulayabiliriz.

 

 

ap>en
Password:  <-- default password “Cisco“
ap#sh version
Cisco IOS Software, C1140 Software (C1140-K9W7-M), Version 12.4(25d)JA, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Thu 09-Dec-10 15:24 by prod_rel_team
ROM: Bootstrap program is C1140 boot loader
BOOTLDR: C1140 Boot Loader (C1140-BOOT-M) Version 12.4(18a)JA3, RELEASE SOFTWARE (fc1)
ap uptime is 0 minutes
System returned to ROM by reload
System image file is "flash:/c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA"

 

Problem1:
Şu hata ile karşılaşılabilir. Aksi taktirde sorunsuz çalışacaktır.

 

Premature end of tar file
ERROR: Problem extracting files from archive.
Download image failed, notify controller!!! From:7.4.1.37 to 7.4.1.37, FailureCode:3

 

Çözüm:

Bu hata indirilen tar dosyasında bir bozukluk veya tftp bağlantısı sırasında oluşan paket kayıplarından olabiliyor.
Yapılması gereken adımlar şunlardır:

  • Access point’i yeniden başlatalım.
  • Image’ı flash’a yüklerken Escape tuşuna basarak cihazı ROMMON mod’a düşürelim.
  • Sonra alttaki komutları girelim.

 

The system boot has been aborted. The following
commands will finish loading the operating system
software:

 

ether_init
tftp_init
boot

 

 

ap: set IP_ADDR 10.1.1.5
ap: set netmask 255.255.255.0

 

ap: tftp_init
tftp_init success: You can now use tftp file system!
ap: ether_init
Initializing ethernet port 0...
Ethernet speed is 100 Mb - FULL Duplex

ap: flash_init
Initializing Flash...
...The flash is already initialized.

 

 

ap: tar -xtract tftp://10.1.1.1/c1140-k9w7-tar.124-25d.JA.tar flash:

ap: set BOOT flash://c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA
(Buraya dikkat, TFTP'nin son satırından kopyalarak yapıştırıyoruz.!)

ap: boot

 

Standalone’dan LWAPP’a Dönüşüm

 

Burada IOS image olarak recovery için olanı kullanıyoruz.

c1140-rcvk9w8-tar.124-25d.JA.tar

Standalone access point’te priviledge exec modda iken yine benzer komutları kullanarak dönüşümü yapıyoruz.

 

AP5475.e023.435f#archive download-sw /force-reload /overwrite tftp://10.1.1.1/c1140-rcvk9w8-tar.124-25d.JA.tar

 

Bu dönüşümleri yine aynı CLI komutları ile 1600/1700 gibi giriş seviyesi ; 2600/2700 gibi orta seviye ve yine 3600/3700 gibi üst seril cihazlarda da aynı şekilde uygulayabilirsiniz.

Cisco Access Point IOS Image’ları

Cisco’unun bütün access pointleri alım sonrası üzerlerinde IOS işletim sistemi image’ları yüklü olarak teslim edilirler(Çok eski Aironet cihazlar hariç). Access point image’ları genellikle router’lar üzerinden alışık olduğumuz .bin değil de .tar uzantılıdır. Bu .tar uzantılı dosyalar cisco.com üzerinden download etmeye yetkisi olan bir hesap ile indirilebilir (Lütfen benden bu tarz bir talepte bulunmayın.)

Access Point’ler genel anlamda ya tek başlarına yayın yapacak şekilde(Autonomous/Standalone) veya Wireless LAN Controller(WLC) diye adlandırdığımız access point’lerin tek noktadan yönetmeye yarayan cihazlarla yönetilecek şekilde (Lightweight) çalışabilirler(Hemen hemen diğer marka/model access point’lerin büyük çoğunluğu da bu şekilde çalışmaktadır.)

 

Öncelikle cisco.com/go/download üzerinden edineceğimiz ya da herhangi bir access point’ten görebileceğimiz IOS image’ı şu şekilde olacaktır:

c1140k9w7-tar.124-25d.JA.tar

Yani,

platformfeatureset-tar.version.tar

 

platform– Access point’in donanım modeli veya o image’ı destekleyen bağlı olduğu ürün ailesi

featureset– Image tarafından desteklenen özellikler seti. Şunlardan birisi olması gerekmektedir:

k9w7 – autonomous IOS (tek başına çalışan access point için)

k9w8 – full lightweight IOS (Wireless Controller ile çalışan access point için)

rcvk9w8 – lightweight recovery image – Bu lightweight çalışan access point üzerine fabrika çıkışı eklenmiş image

 

Ipucu: k9w8 ‘i okurken sondaki w8(weight) ile lightweight ‘e çağrışım yaptırarak hangi image’ın hangi mode için olduğunu daha rahat anlayabilirsiniz 🙂

 

version–  IOS sürümü.

 

Bir önceki örneğe dönecek olursak:

c1140k9w7-tar.124-25d.JA.tar

 

Platform: c1140: 1140 series AP

Featureset: k9w7: autonomous IOS

Version: 124-25d.JA1: 12.4(25d)JA

 

Access point IOS’ları her zaman .tar uzantlı dosyalarla indirilir/dağıtılır. Access point bu dosyayı kendisi açıp sistem image dosyası olarak kullanamaz. Çünkü .tar uzantısının altında IOS image’ının yanı sıra radio firmware dosyaları, html GUI dosyaları ve diğer dosyalar bulunmaktadır. Tar uzantılı dosyayı önce TFTP ile atıp sonrasında açıp içindekileri ayıklamak için archive CLI komutu kullanılmaktadır.

Web GUI üzerinden de IOS atılabilir, fakat problem olma ihtimali CLI’ya göre çok fazladır, bu yüzden tavsiye edilen TFTP ile dosyaların atılmasıdır.

TFTP ile atılan dosyayı açmak için şunu kullanabiliriz:

 

AP# archive download-sw /force-reload /overwrite tftp://ip address/image filename (örn:c1140-k9w7-tar.124-25d.JA.tar)

 

Lightweight çalışan access pointlerde ise yönetim WLC (Wireless Lan Controller) ‘da olduğundan .tar dosyası access point’e atıldıktan sonra alttaki gibi ayıklanarak açılacaktır.

AP# flash:/c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA

 

Sonrasındaki yeniden başlatmalarda access point bu image ile çalıştırılmaya başlanacaktır. Continue reading →