Open Systems
Interconnection (OSI) modeli ISO (International Organization for
Standardization) tarafından geliştirilmiştir. Bu modelle,
ağ farkındalığına sahip cihazlarda çalışan
uygulamaların birbirleriyle nasıl iletişim kuracakları
tanımlanır.
7. Katman
(Uygulama):
Kullanıcının
etkileşim kurduğu şeylerin çoğu bu katmandadır. Web
tarayıcıları ve internete bağlı diğer
uygulamalar (Skype veya Outlook gibi) 7. Katman uygulama protokollerini
kullanır.
6. Katman
(Sunum):
Bu katman, verileri
Uygulama katmanına ve Uygulama katmanından dönüştürür.
Başka bir deyişle, uygulama biçimlendirmesini ağ
biçimlendirmesine ve tersini yapar. Bu, farklı katmanların
birbirini anlamasını sağlar.
5. Katman
(Oturum):
Bu katman, cihazlar
arasındaki bağlantıları kurar ve sonlandırır.
Ayrıca hangi paketlerin hangi metin ve resim dosyalarına ait
olduğunu belirler.
📝 Oturum katmanı, cihazlar arasındaki
bağlantıları kontrol eder. Yereldeki ve uzaktaki
bağlantıları kurabilir, yönetebilir ve sonlandırabilir.
Oturum katmanı mesajlaşma kurallarından(full-duplex,
half-duplex, simplex), uygulamalar arasındaki mesajlaşma
kontrolünden, farklı birimlere gidecek verilerin gruplanmasından,
mesajlaşmaya kalınan noktadan devam edilmesinden ya da yeniden
alınmasından sorumludur.
4. Katman
(Taşıma):
Bu katman, hata
denetimi ve veri kurtarma dahil olmak üzere sistem ile ana bilgisayarlar
arasındaki veri transferini koordine eder.
📝Taşıma/iletim katmanı değişken
uzunluklu veri dizilerinin(datagram) kaynaktan cihazdan hedef cihaza bir veya
daha fazla ağ üzerinden servis kalitesini de koruyarak göndermeyi
sağlar. Taşıma katmanı protokolüne örnek olarak, Internet
Protocol(IP) üzerine inşa edilmiş olan Transmission Control
Protocol(TCP) verilebilir.
Üst katmanlardan gelen her türlü bilgi(veri) taşıma katmanı
tarafından diğer katmanlara ve hedeflere
ulaştırılır.
3. Katman
(Ağ):
Bu katman, verilerin
alıcı cihaza nasıl gönderileceğini belirler. Paket iletimi, yönlendirme ve adreslemeden sorumludur.
📝 3. Katmandaki süreçlerden adresleme ile her cihaz kendi
ağındaki ya da başka bir ağdaki cihaz ile uçtan uca
iletişimi sağlayacak kimlik bilgisini elde etmiş olur. 3. Katman adresleme yapısı kullanılan ağ
katmanı protokolüne özgü bir biçimde tanımlanmalıdır.IPv4
ve IPv6 ağ katmanı protokollerinin asıl görevi uçtan uca
iletimi sağlamak üzere gereken adresleme sistemini sağlamak olduğundan bu katmandaki protokoller paketlerin
karşı tarafa güvenli bir şekilde gönderildiğinin
kontrolünü yapmazlar.
2. Katman
(Veri Bağlantısı):
İkili (veya BIT'leri) sinyallere çevirir ve
üst katmanların medyaya erişmesine olanak tanır.
📝 IEEE 802, veri bağlantısı katmanını
iki alt katmana ayırır
1) Media Access Control (MAC) katmanı - Ağdaki cihazların
ağ ortamına(Örneğin: Kablo ) erişiminden ve veri iletim
izninden sorumludur.
2) Logical Link Control (LLC) katmanı - Ağ katmanı
protokollerinin tanımlanması daha sonra çözülmesi ve hata
kontrollerinin sağlanmasından sorumludur.
1. Katman
(Fiziksel):
Gerçek donanım bu katmanda bulunur. Sinyalleri
ortam üzerinden iletir.
Diyelim ki dizüstü
bilgisayarınızda Skype kullanıyorsunuz. Başka bir
ağdan telefonunda Skype kullanan arkadaşınıza mesaj
atıyorsunuz.
Skype, ağa
bağlı bir uygulama olarak Telnet gibi Katman
7 (Uygulama) protokollerini kullanır.
Arkadaşınıza kedinizin bir resmini gönderirseniz, Skype Dosya
Aktarım Protokolü'nü (FTP) kullanır.
6.
Katman (Sunum) , 7. Katman'dan uygulama
verilerini alır, ikili sisteme çevirir ve
sıkıştırır. Bir mesaj gönderdiğinizde, 6.
Katman bu verileri ağınızdan ayrılırken
şifreler. Ardından, arkadaşınız
aldığında verilerin şifresini çözer.
Skype gibi
uygulamalar metin ve resim dosyalarından oluşur. Bu dosyaları
indirdiğinizde, 5. Katman (Oturum), hangi veri paketlerinin hangi dosyalara ait
olduğunu ve bu paketlerin nereye gittiğini belirler. 5. Katman
ayrıca cihazlar arasındaki iletişimi kurar, sürdürür ve
sonlandırır.
Taşıma ve
Ağ Katmanları
4. Katman
(Taşıma), 5. Katman'dan veri alır ve
segmentlere ayırır. Her segmentin veya veri biriminin bir kaynak ve
hedef bağlantı noktası numarası ile bir sıra
numarası vardır. Bağlantı noktası numarası,
segmentin doğru uygulamaya ulaşmasını sağlar.
Sıra numarası ise segmentlerin doğru sırayla
ulaşmasını sağlar.
Bu katman aynı
zamanda iletilen veri miktarını da kontrol eder. Örneğin,
dizüstü bilgisayarınız 100 Mbps hızında
çalışırken, arkadaşınızın telefonu
yalnızca 10 Mbps hızında işlem yapabilir. 4. Katman,
sunucunun veri iletimini yavaşlatmasını ve böylece
arkadaşınız iletiyi alana kadar hiçbir veri kaybı
yaşanmamasını sağlayabilir. Ancak arkadaşınız
bir ileti gönderdiğinde, sunucu performansı artırmak için
iletim hızını artırabilir.
Son olarak, 4. Katman hata denetimi
gerçekleştirir. Bir veri segmenti eksikse, 4. Katman o segmenti yeniden
iletir.
TCP ve UDP ikisi de
çok iyi bilinen protokollerdir ve 4. Katmanda yer alırlar. TCP,
hızdan çok veri kalitesini tercih ederken, UDP veri kalitesinden çok
hızı tercih eder.
3. Katman
(Ağ), veri segmentlerini ağlar
arasında paketler halinde iletir. Arkadaşınıza mesaj
gönderdiğinizde, bu katman veri segmentlerine kaynak ve hedef IP
adresleri atar. Sizin IP adresiniz kaynak, arkadaşınızınki
ise hedeftir. 3. Katman ayrıca veri iletimi için en iyi yolları da
belirler.
Veri
Bağlantısı ve Fiziksel Katmanlar
2. Katman (Veri
Bağlantısı), 3. Katman'dan paketleri
alır. 4. Katman mantıksal adreslemeyi (IPv4, IPv6)
gerçekleştirirken, 2. Katman fiziksel adreslemeyi gerçekleştirir.
Veri paketine gönderici ve alıcı MAC
adreslerini ekleyerek çerçeve adı verilen
bir veri birimi oluşturur. 2. Katman, çerçevelerin yerel ortam
(örneğin bakır tel, optik fiber veya hava) üzerinden iletilmesini
sağlar. Bu katman, bilgisayarınızın Ağ Arabirim Kartı'na
(NIC) yazılım olarak gömülüdür.
Kısacası,
Katman 2 üst ağ katmanlarının medyaya erişmesine izin
verir ve verilerin medyaya nasıl yerleştirileceğini ve
alınacağını kontrol eder.
Donanım, yani
fiziksel olarak dokunabildiğiniz şeyler, 1. Katman'da (Fiziksel) bulunur. Bu
katman, üst katmanlardan gelen ikili verileri sinyallere dönüştürür ve
yerel ortam üzerinden iletir. Bunlar elektrik, ışık veya radyo
sinyalleri olabilir; kullanılan ortam türüne bağlıdır.
Arkadaşınız sinyalleri aldığında, bunlar
kapsülden çıkarılır veya tekrar ikili veriye ve ardından
uygulama verilerine dönüştürülür, böylece arkadaşınız
mesajınızı görebilir.
TCP/IP ile OSI
arasındaki Farklar
*
TCP/IP haberleşme görevini karmaşık bir iş olarak
niteleyerek daha basit alt görevlere böler. Her bir alt görev diğer alt
görevler için belirli servisler sunar ve diğer alt görevin servislerini
kullanır. OSI modeli de aynı kavramı kullanır, ancak OSI
modelinde her bir katmandaki protokollerin özellikleri ve birbiri ile
ilişkileri kesin bir dille tanımlanmıştır. Bu
özellik OSI modeli ile çalışmayı daha verimli kılar.
*
OSI modelinde katmanların görevlerinin kesin bir şekilde
belirlenmiş olması yeni bir protokol geliştirmeyi kimi zaman
güçleştirebilir.
TCP/IP ise böyle
bir kısıtlama getirmediğinden, gerektiğinde yeni bir
protokol mevcut katmanlar arasına rahatlıkla
yerleştirilebilir.
*
OSI modelinde gerekmeyen bir katmanın
kullanılmaması gibi esnek bir yapıya izin
verilmemektedir. TCP/IP ise katı kurallarla tanımlı
olmadığından gereksinim duyulmayan katmanların kullanılmamasına
izin verir. Örneğin uygulama katmanında olmasına rağmen
doğrudan IP üzerinden kullanılabilen protokoller mevcuttur.
TCP/IP protokollere örnek olarak,
dosya alma/gönderme protokolü (FTP, File Transfer Protocol), Elektronik posta iletişim
protokolü (SMTP Simple
Mail Transfer Protocol), TELNET protokolü (Internet üzerindeki başka bir
bilgisayarda etkileşimli çalışma için geliştirilen
*login* protokolü) verilebilir. Adını sıkça duyduğumuz
WWW ortamında birbirine link objelerin iletilmesini sağlayan
protokol ise Hyper Text Transfer Protocol (HTTP) olarak adlandırılmaktadır. TCP/IP protokolü aynı
zamanda, diğer iletişim ağlarında da kullanılabilir.
Özellikle pek çok farklı tipte bilgisayarı veya iş
istasyonlarını birbirine bağlayan yerel ağlarda (LAN)
kullanımı yaygındır.
MAC adresi
(İngilizce Media Access Control, yani ortam
erişim yönetimi) bir bilgisayar ağında, bir cihazın
ağ donanımını tanımaya yarar. Örneğin, sizin bilgisayarınızda modeminizin ve ağ
kartınızın kendine özel birer MAC adresleri vardır. MAC,
48 bit'lik bir adres olduğundan dolayı 248 = 281,474,976,710,656
değişik ağ kartını tanımlamak için
kullanılabilir.
MAC adresi (Fiziksel adres, Donanım adresi), ağ
donanımının tanımlanmasını sağlar. MAC
adresi, bilgisayarın ethernet kartına üretici tarafından
kodlanan bir bilgidir. Her donanım için özel bir adresi vardır.
Aynı MAC adresine sahip birden fazla ağ cihazı yoktur. MAC adresi 6 oktetten oluşur. İlk 3 oktet
donanımı üreten firmayı işaret eder. Son 3 oktet donanımı işaret eder.
MAC adresi, sadece yerel ağlarda
haberleşmeyi sağlar. Ağın
dışına taşınabilecek bir adres değildir. Sadece
aynı ağ üzerindeki bilgisayarların birbirlerini
bulmalarını sağlar. Aynı
ağda iki ağ cihazının birbiriyle haberleşmesi MAC
adresiyle mümkündür.
📝Bir MAC adresinde ilk üç bit adres havuzunu dağıtan
organizasyonu, sonraki beş bit ise üreticiyi temsil eder.
Dolayısıyla, bir MAC adresinin ilk bitlerine bakılarak
kartın hangi şirket tarafından üretildiği görülebilir.
📝 MAC adresleri,
aralarına ":" işareti konarak 16'lı tabanda
yazılır: 01:23:45:67:89:AB. Bazı MAC adresleri özel
adreslerdir:
FF:FF:FF:FF:FF:FF adresi tüm cihazlara yayın
yapmak (broadcast) için kullanılır.
İlk bitleri 01-00-5E olan adresler
"multicast" adresleri için kullanılır.
Yerel olarak atanmış MAC adresleri 02 ile
başlarlar.
📝 MAC adresleri ile IP adresleri arasındaki
bağ ARP ve RARP protokolleri tarafından
yapılır.
RARP: Ters Adres Çözümleme Protokolü(Reverse Address Resolution Protocol)
📝 MAC-->Ortama erişim kontrol düzeyi -Veri Link Transferin alt
katmanıdır aynı zamanda Media Access Control diye
tanınmaktadır. OSI modelinin Veri Link
Transfer Katmanının alt katmanı
olan Fiziksel Katmanda görev alır. MAC adresleme ve kanallara
erişimi kontrol etmek için mekanizmalar sağlar. Bu da birden fazla
terminalleri veya erişim noktaları birbirleri ile çoklu ağ
ortamında iletişim kurmasını sağlar. MAC
aslında alt katmanı olan LLC (Mantıksal Bağlantı
Kontrolü) ve OSI modeli nin Fiziksel (ilk) seviyesi arasında bir arayüz
görevi görür ve bir çoklu ağdaki tam çift yönlü mantıksal
kanalı taklid eder.
📝 IEEE standartları tanımlayan 48-bit (6 sekizli) MAC
adresi, dört parçaya bölünür. İlk üç sekizli
24-bit içeren Organizasyonun benzersiz tanımlayıcı (OUİ)
veya üreticinin IEEE den aldığı adres ten oluşur. Sadece alt 22 bit (bit) kullanılır diğer
ikisini özel bir anlamı vardır:
ilk bit sıfır (0) olması tekli, bir (1) olması grup
adres çerçevesine hitap eder.
Sonraki bit MAC adresi global(0) veya yerel (1) uygulanan
olmadığını gösterir.
Sonraki üç oktet aygıtın her bir
örneğin imalatçı tarafından seçilmektedir.SNA (Systems Network Architecture) ağları
hariç.Böylece,dünya genelinde benzersiz olan MAC adresleri genel olarak
aygıta bu şekilde eklenir.Ağ yöneticisi seçtiğiniz
cihazın kendi MAC adresi yerine başka bir adres belirleme
yeteneğine sahiptir.Böyle bir yerel olarak yönetilen MAC adresi keyfi
olarak seçilir ve Oui hakkında bilgi içeremez.Adresin yerel olarak
uygulanan adres olup olmadığını öğrenmek için
adresinin ilk sekizli karşılık gelen bitlerine
bakılır.
MAC kafesleme (MAC
spoofing), ağa bağlı bir aygıttaki
bir ağ arabiriminin fabrikada atanmış bir Ortam Erişim
Kontrolü (MAC) adresini değiştirmek için kullanılan bir
tekniktir. Bir ağ arabirim denetleyicisinde (NIC) sabit kodlanmış
MAC adresi değiştirilemez. Bununla birlikte, birçok sürücü MAC
adresinin değiştirilmesine izin verir. Buna ek olarak, bir
işletim sisteminin NIC'inde kullanıcının seçtiği MAC
adresine sahip olduğuna inanmasını sağlayacak araçlar
vardır. Bir MAC adresini gizleme işlemi, MAC kafesleme olarak
bilinir.[2]
MAC adresi
kullanım alanları
Veri İletişimi
Ciahazlar
arası veri paketlerin doğru adrese erişmesi
sağlanır-Layer 2
Ağ Yönetimi
Ağa
bağlı cihazların izlenmesi ve yönetilmesi için
kullanılır.
IP adresi
(İngilizce: Internet Protocol address), interneti ya da TCP/IP
protokolünü kullanan diğer paket anahtarlamalı ağlara
bağlı cihazların, ağ üzerinden birbirleri ile veri
alışverişi yapmak için kullandıkları adres.[3]
İnternet'e
bağlanan her cihaza, İnternet Servis
Sağlayıcısı tarafından bir "public"
IP adresi atanır ve internete bağlı
cihazlar birbirleriyle bu "public" IP adresleri üzerinden
ulaşırlar. IP adresine sahip iki farklı cihaz aynı
ağda olmadıkları durumlarda, yönlendiriciler
(router) ya da yönlendirme
(routing) özelliği olan cihazlar
vasıtası ile birbirleri ile iletişim kurarlar.
IP adresleri şu
anda yaygın kullanımda olan IPv4 adresleri 32
bit boyutunda olup, noktalarla
ayrılmış 4 adet onluk düzendeki sayılarla gösterilirler. Örneğin: 192.168.10.5 (Bu örnekte verilen IP adresi özel (private) IP adresi
olarak tanımlanır ve sadece yerel ağlarda iletişim
sağlayabilir. Diğer ağlar ile iletişim
sağlanabilmesi için cihazın genel (public) IP adresine sahip
olması gerekmektedir.)
Bazı internet
sayfalarına, o sayfaların IP adresleri ile de
bağlanılabilir. Ancak bu IP adreslerinin hangi sayfalara ait
olduklarını bilebilmek pratikte çok mümkün
olmadığından IP adreslerine karşılık gelen bir
alan adı sistemi kullanılmaktadır. Alan
Adı Sunucuları'ndan (DNS -Domain Name System) oluşan hiyerarşik bir sistem, hangi alan
adının hangi IP adresine karşılık geldiği
bilgisini eşler.
Yönlendiriciler IP paketleri iletme görevlerini IP paket
başlıklarında yer alan IP adreslerine göre
gerçekleştirirler. IP'nin ilk büyük versiyonu İnternet Protokolü
Sürüm 4'tür. IPv4 internette baskın olan bir protokoldür. Onun halefi İnternet
Protokolü Sürüm 6 (IPv6)'dır. IPv6, internete bağlanan cihaz
sayısının artmasından ve bu cihazlara yetecek sayıda
IP adresi verilmesini sağlama zorunluluğundan ortaya
çıkmıştır.
IP Adres
çeşitleri
IP v4
IP v6
Genel IP Adresleri
ÖzelIP Adresleri
Statik IP
Dinamik IP
Ağ alt
Maskesi(Subnet mask)
TCP/IP'de iki cihaz
aynı ağda olup olmadıklarını birbirlerinin IP
adreslerinin ilk birkaç basamağına bakarak anlarlar. Bu
basamağa IP maskesi veya Alt ağ maskesi (IP
mask veya Subnet Mask) denir. Örneğin IP
maskesi 255.255.255.0 ise, ilk üç basamağı (yani ilk 24 bit'i)
aynı olan iki makine aynı ağda demektir.
192.168.100.1/24
192.168.100.1 255.255.255.0
172.16.10.1/16
172.16.10.1 255.255.0.0
IP v4 alt
ağları - (subnets)
CIDR
Subnet mask
# of Address
Wildcard
/32
255.255.255.255
1
0.0.0.0
/31
255.255.255.254
2
0.0.0.1
/29
255.255.255.248
8
0.0.0.7
/28
255.255.255.240
16
0.0.0.15
/27
255.255.255.224
32
0.0.0.31
/24
255.255.255.0
256
0.0.0.255
/23
255.255.254.0
512
0.0.1.255
/22
255.255.252.0
1024
0.0.3.255
/16
255.255.0.0
65.536
0.0.255.255
/8
255.0.0.0
16.777.216
0.255.255.255
/1
128.0.0.0
2.147.483.648
127.255.255.255
Genel IP Adresleri
Genel IP adresi veya
dışa dönük IP adresi, insanların iş veya ev internet
ağlarını internet servis sağlayıcılarına
(İSS) bağlamak için kullandıkları ana cihaza
karşılık gelir. Çoğu durumda bu cihaz yönlendiricidir.
Bir yönlendiriciye bağlanan tüm cihazlar, yönlendiricinin IP adresini
kullanarak diğer IP adresleriyle iletişim kurar.
Dışarıya
bakan bir IP adresini bilmek, insanların çevrimiçi oyun, e-posta ve web
sunucuları, medya akışı ve uzak bağlantılar
oluşturmak için kullanılan portları açmaları açısından
çok önemlidir.
Aşağıda yer alan üç IP adres bloku
yerel alan ağlarında kullanılmak üzere
ayrılmıştır.[4]
10.0.0.0 -
10.255.255.255
(10.0.0.0/8 - 10.0.0.0 maske 255.0.0.0)
172.16.0.0 -
172.31.255.255
(172.16.0.0/12 - 172.16.0.0 maske 255.240.0.0)
192.168.0.0 -
192.168.255.255
(192.168.0.0/16 - 192.168.0.0 maske
255.255.0.0)
Bu IP adres
blokları yerel alan ağlarında kullanılmak üzere tahsis edilmiştir (Dünya
üzerinde tekil değildirler) ve geniş
alan ağlarında internet servis sağlayıcılar tarafından yönlendirilmezler. Bu nedenle bu IP
ağlarından internete çıkarken gerçek IP adreslerine NAT yapılır.
/# ip addr |
grep inet
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host noprefixroute
inet
192.168.201.65/24 brd 192.168.201.255 scope global dynamic noprefixroute ens18
inet6 fe80::be24:11ff:fec3:3509/64 scope
link noprefixroute
Statik IP / Dinamik
IP
Statik IP, sabit kalan ve değişmeyen bir IP adresi iken, dinamik IP servis
sağlayıcı tarafından belirli aralıklarla otomatik
olarak değiştirilen bir adres türüdür. Statik IP, genellikle sunucu
barındırma, uzaktan erişim ve güvenlik sistemleri gibi sabit
bağlantı gerektiren uygulamalarda tercih edilir.
Yönlendirici
(İngilizce: router), aynı ağ iletişim
kurallarını kullanan iki bilgisayar ağı arasında
veri çerçevelerinin iletimini sağlayan ağ
donanımıdır. Yönlendirme için OSI yedi katman modelinin
üçüncüsü olan ağ katmanı kullanılır. Genellikle bu
iş için özel üretilmiş donanımlar varsa da birden çok arayüzü
olan bilgisayarlar da yazılım desteğiyle yöneltici olarak
çalışabilirler.[
Statik Yönlendirme
(Static Routes)
Statik yönlendirme, bilgisayar ağlarında yönlendiricinin yol seçimi
yapılandırılmasında bir yolu tarif eden bir veri
iletişim kavramıdır. Ağın mevcut topolojisinde
ilgili yönlendiriciler arasındaki iletişim yokluğu ile
karakterize edilmiş yönlendirme türüdür. Yönlendirme tablosuna
yolları elle ekleyerek gerçekleştirilir. Statik yönlendirmenin
tersi dinamik yönlendirmedir. Bazen de uyarlanabilir yönlendirme olarak ifade
edilir.[5]
Yönlendirme tablosuna
yolları elle ekleyerek gerçekleştirilir. Statik yönlendirmenin
tersi dinamik yönlendirmedir. Bazen de uyarlanabilir yönlendirme olarak ifade
edilir.
Default Gateway
# ip route
show
default via 192.168.201.1 dev ens18 proto dhcp src
192.168.201.65 metric 100
192.168.201.0/24
dev ens18 proto kernel scope link src 192.168.201.65 metric 100
# route
Kernel IP
routing table
Destination
Gateway
Genmask
Flags
Metric
Ref
Use
Iface
default
_gateway
0.0.0.0
UG
100
0
0
ens18
192.168.201.00.0.0.0255.255.255.0
U
100
0
0
ens18
Yönlendirme
tablosunu tam sayısal biçimde görüntülemek için.
Bilgisayar
ağlarında , uyarlanabilir yönlendirme ( AR ) olarak da
adlandırılan dinamik yönlendirme ( DR ) ,bir yönlendiricinin,
bir sistem içindeki iletişim devrelerinin mevcut koşullarına
bağlı olarak belirli bir hedef için farklı bir rota üzerinden
veri iletebildiği bir işlemdir. Terim, genellikle bir düğümün
veya düğümler arasında bir bağlantının kaybı
gibi hasarların etrafından dolaşma yeteneğini
tanımlamak için veri ağlarıyla ilişkilendirilir , diğer
yol seçenekleri mevcut olduğu sürece. Dinamik
yönlendirme, değişikliğe yanıt olarak mümkün
olduğunca çok rotanın geçerli kalmasına olanak tanır.
Dinamik Yönlendirme
Çeşitleri
RIP
Routing Information
Protocol
- Yönlendirme Bilgi Protokolü
📝 Kaynaktan hedefe giden bir yolda izin verilen atlama
sayısına bir sınır uygulayarak yönlendirme döngülerini
önleyen bir mesafe vektörlü yönlendirme protokolüdür .[6]
OSPF
Open Shortest Path First
- Önce En Kısa Yolu Aç
📝 OSPF,
mevcut yönlendiricilerden bağlantı durumu bilgilerini toplar ve
ağın bir topoloji haritasını oluşturur. Topoloji,
paketlerin hedef IP adreslerine göre yönlendirilmesi için internet
katmanına bir yönlendirme tablosu olarak sunulur. OSPF, İnternet
Protokolü sürüm 4 (IPv4) ve İnternet Protokolü sürüm 6 (IPv6)
ağlarını destekler ve büyük kurumsal ağlarda yaygın
olarak kullanılır . LSR
algoritması kullanır.
OSPF
Bileşenleri:
Link State Database
(LSDB)
Dijkstra' algorithm
Shortest Path first (SPF) Tree
OSPF routes
IP routing table
Link State Database (LSDB):
Her yönlendirici,
ağ topolojisini açıklayan özdeş veritabanlarını
tutar.
Her yönlendirici, LSDB'den ve Dijkstra algoritmasını
kullanarak en kısa yolu içeren bir ağaç oluşturur.
Bu ağaç
yapısı, her bir hedefe giden bir OSPF
rotası sunar.
OSPF, IP yönlendirme tablosuna rota ekleyebilir.
BGP
Border Gateway Protocol
📝 BGP,
internet üzerinden iletişimi tanımlar. İnternet, hepsi
birbirine bağlı geniş bir otonom sistemler koleksiyonudur. Her
otonom sistem, İnternet Atanmış Numaralar Otoritesine
kaydolarak elde ettiği otonom sistem numarasına (ASN) sahiptir.
BGP, en yakın ASN'leri takip ederek ve hedef adreslerini ilgili
ASN'leri ile eşleştirerek çalışır.
IS-IS
Intermediate System to
Intermediate System
📝 Ara Sistemden Ara Sisteme ( IS-IS , ayrıca ISIS olarak da yazılır ), bir ağ
içinde yönlendirme bilgilerini değiştirmek için kullanılan bir
bağlantı durumu iç ağ geçidi protokolüdür (IGP).
Yönlendiriciler, veriler için en verimli yolları bulabilmek
amacıyla ağ topolojisi bilgilerini paylaşır. IS-IS
genellikle tek bir otonom sistem içinde dağıtılır ve
büyük işletme ve servis sağlayıcı ağlarında
kullanılır.
IS-IS,
yönlendiricilerden oluşan bir ağ boyunca bağlantı durumu
bilgilerini dağıtarak çalışan bir bağlantı
durumu yönlendirme protokolüdür . Her IS-IS yönlendiricisi, diğer
yönlendiricilerden dağıtılan bağlantı durumu
bilgilerini toplayarak kendi bağlantı durumu veritabanını
(LSDB) oluşturur. OSPF protokolü gibi, IS-IS de ağ üzerinden en iyi
yolu hesaplamak için Dijkstra algoritmasını kullanır .
Paketler ( datagramlar ), hesaplanan ideal yola göre ağ üzerinden hedefe
iletilir.
IGRP
Interior Gateway Routing Protocol
İç ağ geçidi Yönlendirme Protokolü
📝 IGRP Cisco tarafından
geliştirilmiş bir uzaklık vektörü protokolüdür. Cisco
tarafından geliştirildiği için bu protokolü kullanan
cihazların Cisco olması gerekmektedir. Temel olarak RIPv1de
bulunan bazı eksikleri gidermek ve Cisco firmasının kendisine
ait bir protokolü olması amacıyla geliştirilmiştir. RIP
(Routing Information Protocol - Yönlendirme Bilgi Protokolü) gibi
uzaklık vektörü algoritmalarını kullanır ve RIPin
özelliklerinin üstüne bir kaç ekleme yapılmasıyla
oluşturulmuştur. IGRP de RIP gibi sınıfsal (classful) bir
protokoldür.
EIGRP
Enhanced Interior
Gateway Protocol
Artırılmış
İç Ağ Geçidi Yönlendirme Protokolü
📝 EIGRP Cisco
tarafından IGRP protokolünün yetersiz kalmaya başlamasıyla
geliştirilmiş birçok yönden IGRP protokolüne benzemesine
rağmen, geliştirilmiş özellikleri sayesinde Cisco
cihazların oluşturduğu ağlarda oldukça tercih edilen bir
protokoldür. Bu protokol aynı anda Uzaklık Vektörü ve Hat Durumu
protokollerinin özelliklerine sahip olduğu için Hybrid (Melez) olarak da
adlandırılmaktadır.
Dinamik Routing Protokolleri
İç
Ağ Protokolleri
Dış Ağ
Protokolleri
Uzaklık Vektörü Protokolleri
Hat
Durum Protokolleri
BGP
RIP v1
IGRP
OSPF
IS - IS
RIF V2
EIGRP
Ağ (Network)
Cihazları
Anahtar
(Switch)
Tekrarlayıcı
(Repeater)
Köprüleyici
(Bridge)
Yönlendirici
(Router)
Güvenlik Duvarı
Cihazları
(Firewall)
Erişim
Noktası
(Access Point)
NIC
(Ağ Ara Birim
Kartı)
Modem
IPv4 Paket
IPv4,
İnternet Protokolünün en yaygın kullanılan sürümüdür.
Cihazların internete bağlanmasını sağlayan bir dizi
kural içerir ve her bağlanan cihaza IP adresi adı verilen
benzersiz, 32 bitlik bir tanımlayıcı atanır . Cihazlar
arasında veri gönderildiğinde, ağ paketleri her iki
cihazın IP adreslerini de içerir. Yönlendiriciler ve anahtarlar, bu
bilgiyi kullanarak paketleri kaynak cihazdan hedef cihaza ağ üzerinden
yönlendirir.
IPv4'te ağ paketleri, işlev olarak posta paketine benzer. Her
paket üç bileşen içerebilir: paket başlığı, veri
yükü ve son kısım. Başlık bir zarfa, veri yükü içindeki
içeriğe ve son kısım ise bir imzaya benzer.
TCP (Transmission
Control Protocol), TCP/IP
protokol takımının taşıma katmanı
protokollerinden birisidir. İlk ağ
implementasyonunda, İnternet Protokolü (IP) ile birlikte
çalışarak TCP ortaya çıkmıştır. Bu nedenle, tüm
takım genellikle TCP/IP olarak adlandırılır. TCP, IP
ağı üzerinden iletişim kuran uygulamalar arasında bir
dizi oktetin (baytların) güvenilir, sıralı ve hata kontrolü
yapılmış bir şekilde iletimini sağlar. Dünya
Çapında Ağ (WWW), e-posta, uzak yönetim, dosya transferi ve
akış medyası gibi büyük internet uygulamaları, TCP'yi
kullanır; bu protokol, TCP/IP takımının taşıma
katmanının bir parçasıdır. SSL/TLS sıklıkla
TCP'nin üstünde çalışır. Bugün TCP, çoğu İnternet
iletişimi için temel bir protokol olarak kalmakta ve farklı
ağlar arasında güvenilir veri aktarımını
sağlamaktadır.
Gelişmiş
bilgisayar ağlarında paket anahtarlamalı bilgisayar
iletişiminde kayıpsız veri gönderimi sağlayabilmek için
TCP protokolü yazılmıştır. HTTP,
HTTPS, POP3, SSH, SMTP, Telnet ve FTP gibi
internetin kullanıcı açısından en popüler protokollerinin
veri iletimi TCP vasıtasıyla yapılır.
TCP
bağlantısı nasıl kurulur?
📝Normal olarak bir istemci bir sunucuya TCP
bağlantısı başlatma isteğinde bulunduğunda,
sunucu ve istemci bir dizi mesaj takas eder ve bu durum şöyle
işler:
1)İstemci kendi sistem yapısı hakkındaki bilgiyi
sunucuya bir SYN
(synchronize) mesajı ile göndererek bir bağlantı kurmak
ister.
2)Sunucu bu mesajı aldığını belirten ve kendi
sistem yapısı hakkındaki bilgiyi istemciye bir SYN-ACK mesajı ile
gönderir.
3)İstemci bu mesajı aldığını belirten bir ACK mesajı ile yanıt
verir ve bağlantı kurulmuş olur.
Bu TCP üçlü zamanlı el sıkışma olarak
adlandırılır ve bütün TCP protokolü kullanan kurulmuş
bağlantılar için temeldir.
Tüm TCP Portlarını Listeleme
# netstat -at
Active
Internet connections (servers and established)
Proto
Recv-Q
Send-Q
Local Address
Foreign Address
State
tcp
0
0
0.0.0.0:ssh
0.0.0.0:*
LISTEN
tcp
0
0
localhost:6010
0.0.0.0:*
LISTEN
tcp
0
0
localhost:ipp
0.0.0.0:*
LISTEN
tcp
0
0
debian15:ssh
_gateway:58905
ESTABLISHED
tcp
0
288
debian15:ssh
_gateway:58898
ESTABLISHED
Port No:
Protokol
Fonksyon
20
FTP
Dosya (File) aktarımı - veri
21
FTP
Dosya (File) aktarımı - kontrol
22
SSH
Güvenli Uzaktan
bağlantı
$ ssh
user@<ip address>
$ ssh
user@<ip address> -p 26
(port 26 üzerinden
bağlantı)
23
Telnet
Uzaktan bağlantı
25
SMTP
E-posta
55
DNS
Alan Çözünürlüğü
67
DHCP
DHCP (Server to Client)
68
DHCP
DHCP (Client to Server)
80
HTTP
Web
110
POP-3
Uzaktan e-posta erişimi
123
NTP
Zaman Senkronizasyonu
143
IMAP
161
SNMP
Ağ Yönetimi
443
HHTPS
Güvenli Web(SSL Sertifika)
445
SMB
Dosya
Paylaşımı
3389
RDP
Uzak Masaüstü
UDP
UDP (User Datagram
Protocol - Kullanıcı Veribloğu İletişim
Kuralları), TCP/IP protokol
takımının iki aktarım katmanı protokolünden
birisidir. Verileri bağlantı kurmadan yollar.
Gelişmiş bilgisayar ağlarında paket anahtarlı
bilgisayar iletişiminde bir datagram modu oluşturabilmek için UDP
protokolü yazılmıştır. Bu protokol minimum protokol
mekanizmasıyla bir uygulama programından diğerine mesaj
göndermek için bir prosedür içerir. Bu protokol 'transaction' yönlendirmelidir.
Paketin teslim garantisini isteyen uygulamalar TCP protokolünü kullanır.[7]
Geniş alan ağlarında
(WAN) ses ve görüntü aktarımı gibi gerçek zamanlı veri
aktarımlarında UDP kullanılır.
UDP bağlantı kurulum
işlemlerini, akış kontrolü ve tekrar iletim işlemlerini
yapmayarak veri iletim süresini en aza indirir.
UDP ve TCP aynı iletişim
yolunu kullandıklarında UDP ile yapılan gerçek zamanlı
veri transferinin servis kalitesi TCP'nin oluşturduğu yüksek veri
trafiği nedeniyle azalır.
UDP'yi kullanan
protokollerden bazıları DNS, TFTP ve SNMP protokolleridir. Uygulama programcıları birçok
zaman UDP'yi TCP'ye tercih eder, zira UDP ağ
üzerinde fazla bant genişliği kaplamaz.
UDP güvenilir olmayan
bir aktarım protokolüdür. Ağ üzerinden paketi gönderir ama gidip
gitmediğini takip etmez ve paketin yerine ulaşıp
ulaşmayacağına onay verme yetkisi yoktur. UDP üzerinden
güvenilir şekilde veri göndermek isteyen bir uygulama bunu kendi
yöntemleriyle yapmak zorundadır.
UDP Paket
Yapısı
Kaynak Port Numarası:
Gönderenin
bağlantı noktası numarasını belirten 16 bitlik bir
alan.
Hedef Port Numarası:
Hedeflenen
alıcının bağlantı noktası numarasını
belirten 16 bitlik bir alan.
Uzunluk:
UDP üstbilgisinin ve yük
verilerinin bayt cinsinden uzunluğunu belirten 16 bitlik bir alan.
Kontrol Sayısı (Checksum):
Hata denetimi
amacıyla bir sağlama toplamı içeren 16 bitlik bir alan.
Sağlama toplamı, başlık ve yük verilerine dayalı
olarak hesaplanır ve iletim sırasında verilerin
bütünlüğünü doğrulamak için kullanılır.
Tüm UDP Portlarını Listeleme
# netstat -au
Active
Internet connections (servers and established)
Proto Recv-Q
Send-Q Local AddressForeign
AddressState
Oturum katmanı
veya 5. katman (İngilizce: Session Layer), bir bilgisayar birden fazla
bilgisayarla aynı anda iletişim içinde olduğunda,
gerektiğinde doğru bilgisayarla konuşabilmesini sağlar.
Ağda iki
uygulamanın haberleşmesini sağlar. Uygulamalar arasındaki
bağlantıları kurar, yönetir ve
sonlandırır.Örneğin bir Internet Explorer programı ile
Web server uygulamasının oturum kurmalarını birbirleri
ile ön konuşmalar yapmalarını sağlar.İki uygulama
birbirini fark edecek ve aralarında bir diyalog başlatacaktır.
Bu katman
yardımı ile farklı bilgisayarlardaki kullanıcılar
arasında oturumlar kurulması sağlanır. Bu işlem
oturumların kurulmasını, yönetilmesini ve bitirilmesini
içerir
Örneğin A bilgisayarı B üzerindeki yazıcıya
yazdırırken, C bilgisayarı B üzerindeki diske erişiyorsa,
B hem A ile olan, hem de C ile olan iletişimini aynı anda sürdürmek
zorundadır.
Bu katmanda çalışan NetBIOS ve Sockets gibi protokoller farklı bilgisayarlarla aynı anda
olan bağlantıları yönetme imkânı sağlarlar.
Ağ'a
bağlı aygıtların birbirleri ile haberleşmesi için
kullanılan bir API (Uygulama programlama arayüzü)'dir. NetBIOS, Network
Basic Input/Output System (Ağ Temel Giriş/Çıkış
Sistemi) 'in kısaltmasıdır. Bu, ayrı bilgisayarlarda
yerel alan ağı üzerinden iletişim kurmak için OSI Modelini
sağlayan uygulamaların oturum katmanı ile ilgili hizmet
vermektedir. NetBIOS bir ağ protokolü değildir sadece bu protokol
üzerinde çalışan bir API'dir.
Eski işletim sistemleri NetBIOS 'u sırasıyla NetBIOS Frames
(NBF) ve NetBIOS over IPX/SPX (NBX) protokollerini kullanılarak IEEE
802.2 ve IPX/SPX üzerinden çalıştırırdı. Modern ağlarda, NetBIOS normal olarak NetBIOS over TCP/IP
(NPT) protokolü aracılığıyla TCP/IP üzerinden
çalıştırılır.
Sonuç olarak ağdaki her bilgisayar bir IP adresi ve bir NetBIOS
adının her ikisine de sahip olan bir hostname 'e
karşılık gelir.[8]
TCP/IP, yapı olarak iki katmanlı bir haberleşme
protokolüdür. Üst Katman TCP (Transmission
Control Protocol) verinin iletimden önce
paketlere ayrılmasını ve karşı tarafta bu paketlerin
yeniden düzgün bir şekilde birleştirilmesini sağlar. Alt
Katman IP (Internet Protocol) ise, iletilen paketlerin istenilen ağ adresine
yönlendirilmesini kontrol eder.
TCP/IP Protokol Yapısı
Uygulama Katmanı (Application Layer): Farklı sunucular üzerindeki süreç ve uygulamalar
arasında olan iletişimi sağlar.
Taşıma Katmanı (Host to host or
Transport Layer): Noktadan noktaya veri
akışını sağlar.
İnternet Katmanı: Routerlar ile
birbirine bağlanmış ağlar boyunca verinin kaynaktan
hedefe yönlendirilmesini sağlar.
Ağ Erişim Katmanı: Uç sistem ile alt
ağ arasındaki mantık arabirime ilişkin
katmandır.
Fiziksel Katman:
İletişim ortamının karakteristik özelliklerini,
sinyalleşme hızını ve kodlama şemasını
belirler.
1.
İnternet protokol takımı ağ modeli ve internet ve benzeri
ağlar için kullanılan bir iletişim protokolleri kümesidir.
2.
TCP/IP de veri biçimlendirilmiş şekilde nasıl olması
gerektiği belirterek uçtan uca bağlantı sağlar.
3.
TCP/IP modeli ve ilgili protokoller Internet Engineering Task Force (IETF)
tarafından korunur.
* TCP/IP haberleşme görevini
karmaşık bir iş olarak niteleyerek daha basit alt görevlere
böler. Her bir alt görev diğer alt görevler için belirli servisler sunar
ve diğer alt görevin servislerini kullanır. OSI modeli de aynı
kavramı kullanır, ancak OSI modelinde her bir katmandaki
protokollerin özellikleri ve birbiri ile ilişkileri kesin bir dille
tanımlanmıştır. Bu özellik OSI modeli ile çalışmayı
daha verimli kılar.
* OSI modelinde katmanların
görevlerinin kesin bir şekilde belirlenmiş olması yeni bir
protokol geliştirmeyi kimi zaman güçleştirebilir. TCP/IP ise böyle
bir kısıtlama getirmediğinden, gerektiğinde yeni bir
protokol mevcut katmanlar arasına rahatlıkla
yerleştirilebilir.
* OSI modelinde gerekmeyen bir
katmanın kullanılmaması gibi esnek bir yapıya izin
verilmemektedir. TCP/IP ise katı kurallarla tanımlı
olmadığından gereksinim duyulmayan katmanların
kullanılmamasına izin verir. Örneğin uygulama katmanında
olmasına rağmen doğrudan IP üzerinden kullanılabilen
protokoller mevcuttur.
TCP/IP protokollere
örnek olarak, dosya alma/gönderme protokolü (FTP (File Transfer Protocol)), elektronik posta iletişim
protokolü (SMTP
(Simple Mail Transfer Protocol)), TELNET protokolü (internet üzerindeki başka bir bilgisayarda
etkileşimli çalışma için geliştirilen protokolü)
verilebilir. Adını sıkça duyduğumuz WWW ortamında
birbirine link objelerin iletilmesini sağlayan protokol ise Hyper Text
Transfer Protocol (HTTP)
olarak adlandırılmaktadır. TCP/IP protokolü aynı zamanda,
diğer iletişim ağlarında da kullanilabilir. Özellikle pek
çok farklı tipte bilgisayarı veya iş istasyonlarını
birbirine bağlayan yerel ağlarda (LAN) kullanımı
yaygındır.
OSI modelinin
farklı katmanlarını anlamak, ağınızı
güvence altına almak için çok önemlidir. İşte katmanlar
genelindeki temel ağ güvenliği risklerinin kısa bir özeti:
1️⃣ Physical
Layer Eavesdropping, tampering, and electromagnetic interference.
2️⃣ Data Link
Layer MAC address spoofing, ARP spoofing, and switch flooding.
3️⃣ Network Layer
IP spoofing, route table manipulation, and Smurf attacks.
4️⃣ Transport
Layer UDP floods, SYN floods, and segmentation issues.
VLAN, fiziksel olarak aynı switch üzerinde veya farklı
switch'lerde bulunan cihazları, mantıksal
olarak birbirinden ayırmanızı ve
onları sanki ayrı fiziksel switch'lermiş gibi
gruplandırmanızı sağlayan bir teknolojidir.
Varsayalım ki
tek bir fiziksel switch'iniz var. Normalde bu switch'e bağlı tüm
cihazlar aynı "yayın alanı" (broadcast domain)
içindedir. Yani bir cihazın gönderdiği bir yayın (broadcast)
mesajı, switch'in tüm portlarına gider.
VLAN ile bu
değişir. Switch'in portlarını
VLAN'lar adı verilen sanal gruplara atarsınız. Bir VLAN
içindeki trafik (yayınlar dahil), diğer VLAN'lara otomatik olarak sızmaz. Bu sayede:
- Farklı VLAN'lardaki cihazlar birbirini
görmez (sanki ayrı switch'lere bağlı gibi).
- Her VLAN kendi bağımsız yayın
alanıdır.
VLAN Neden Kullanılır? (Temel
Faydaları)
1.Güvenlik (Security):
Hassas verilere sahip sunucuları (örneğin finans departmanı)
farklı bir VLAN'a koyarak, diğer departmanların (pazarlama,
İK) bu sunuculara doğrudan erişmesini engelleyebilirsiniz.
Trafik VLAN'lar arasında geçiş yapmak istiyorsa, mutlaka bir router (yönlendirici) veya Layer 3 switch üzerinden
geçmelidir ki burada da erişim kontrolleri (ACL - Access Control List)
uygulanabilir.
2.Performans ve Yayın
Fırtınalarının Önlenmesi (Broadcast Storm Control): Bir VLAN'daki yayın trafiği, sadece o VLAN'ın
içinde kalır. Bu sayede büyük ve kalabalık bir ağda gereksiz
yayın trafiği diğer VLAN'ları etkilemez. Örneğin,
200 cihazlı bir ağı her biri 50'şer cihazlı 4 VLAN'a
bölmek, yayın alanlarını küçülterek ağ
performansını ciddi oranda artırır.
3.Esneklik ve Maliyet Tasarrufu (Flexibility
& Cost Savings): Aynı fizikli switch
altyapısını kullanarak farklı mantıksal ağlar
oluşturabilirsiniz. Ofisteki her kat için ayrı switch satın
almak yerine, bir switch'i VLAN'lara bölerek her katı mantıksal olarak
ayırabilirsiniz. Bir cihazın bağlı olduğu
VLAN'ı değiştirmek için kabloyu sökmeye gerek yoktur, sadece
switch portunun VLAN konfigürasyonu değiştirilir.
4.Lojik Gruplama (Logical Grouping): Cihazları fiziksel konumlarından
bağımsız olarak gruplayabilirsiniz. Örneğin, bir
binanın farklı katlarındaki tüm mühendislik departmanı
çalışanlarını aynı VLAN'da toplayabilirsiniz.
Kullanıcılar fiziksel olarak farklı switch'e bağlı
olsalar bile, VLAN sayesinde aynı ağdaymış gibi
davranırlar.
VLAN
Nasıl Çalışır? (Temel Mekanizma)
VLAN'lar, Ethernet
çerçevesine (frame) eklenen bir VLAN Etiketi (Tag) ile çalışır. En yaygın standart IEEE
802.1Q'dur.
- Tag'siz (Untagged)
Port (Erişim Portu - Access Port): Bir switch
portu, genellikle bir son kullanıcı cihazına (bilgisayar,
yazıcı, IP telefon) bağlıdır. Bu cihazlar VLAN
etiketini anlamaz. Yani port, hangi VLAN'a aitse, o VLAN'ın
"üyesi" olarak yapılandırılır ve
gelen/çıkan normal (tag'siz) frame'ler otomatik olarak o VLAN'a
atanır. Bir access portu sadece tek bir
VLAN'a aittir.
- Tag'li (Tagged)
Port (Ara Bağlantı/Trunk Portu): Bu portlar
genellikle iki switch arasında veya bir switch ile bir
router/sunucu arasında kullanılır.
Bu portlar üzerinden birden fazla VLAN'ın trafiği geçebilir. Hangi
frame'in hangi VLAN'a ait olduğunu belirtmek için her frame'e 802.1Q
etiketi eklenir. Bu etikette 12 bitlik bir VLAN ID (kimlik numarası)
alanı bulunur (1-4094 arası değerler). Trunk portları, VLAN'ları switch'ler arasında
taşır.
VLAN'lar
Arası İletişim (Inter-VLAN Routing)
📍
Unutulmaması gereken en önemli nokta: Farklı VLAN'lar birbirleriyle
doğrudan konuşamaz! VLAN'lar fiziksel olarak
ayrı ağlarmış gibi davranır. Eğer VLAN 10'daki
bir bilgisayarın VLAN 20'deki bir yazıcıya erişmesi
gerekiyorsa, bu trafiğin bir Layer 3
cihazı (router veya Layer 3 switch)
üzerinden yönlendirilmesi gerekir.
Bu işleme Inter-VLAN
Routing denir ve genellikle şu yöntemlerle
yapılır:
1.Router-on-a-Stick:
Router'ın tek bir fiziksel portu, switch'teki bir trunk portuna
bağlanır. Router bu port üzerinde her VLAN için sanal alt arayüzler
(sub-interface) oluşturur ve VLAN'lar arası yönlendirmeyi yapar.
2.Layer 3 Switch:
Switch'in kendisi yönlendirme yeteneğine sahiptir (SVIs - Switch Virtual
Interfaces). Bu daha hızlı ve yaygın bir yöntemdir.
VLAN ID ve
VLAN Aralıkları
- Normal VLAN'lar (Standard Range): 1 - 1005 arası.
- VLAN 1:
Varsayılan VLAN'dır (Default VLAN).
Değiştirilemez veya silinemez. Güvenlik
riski oluşturduğu için kritik ağlarda kullanılmaması
şiddetle önerilir. Tüm portlar
başlangıçta VLAN 1'dedir.
- VLAN 1002-1005:
Token Ring, FDDI gibi eski teknolojiler için ayrılmıştır.
-
Genişletilmiş VLAN'lar (Extended Range): 1006
- 4094 arası. Daha fazla esneklik sağlar.
VLAN
Konfigürasyonu (Örnek - Cisco Switch)
Aşağıda
basit bir senaryo için temel komutlar verilmiştir: VLAN 10 (Muhasebe) ve
VLAN 20 (Mühendislik) oluşturma, port atama ve switch'ler arasında
trunk kurma.
Switch 1'de:
```cisco
#
VLAN'ları oluştur
vlan 10
name MUHASEBE
vlan 20
name MUHENDISLIK
exit
#
Portları VLAN'lara ata (Access Portları)
interface
fastethernet 0/1
switchport mode access# Portu access moduna al
switchport access vlan 10# Bu portu VLAN 10'a ata
interface
fastethernet 0/2
switchport mode access
switchport access vlan 20
# Switch'ler
arası bağlantı portu (Trunk)
interface
gigabitethernet 0/1
switchport mode trunk# Portu trunk moduna al
switchport trunk allowed vlan 10,20# Sadece izin verilen VLAN'lar (opsiyonel
ama iyi güvenlik pratiği)
```
Switch 2'de de aynı VLAN'lar oluşturulur
ve ilgili portlar yine access/trunk olarak
yapılandırılır.
VLAN
Kullanım Alanları (Gerçek Dünya Örnekleri)
- Kurumsal Ağlar:
- VLAN 10: Yönetim (IP: 10.10.10.x)
- VLAN 20: Muhasebe (IP: 10.10.20.x)
- VLAN 30: İnsan Kaynakları
(IP: 10.10.30.x)
- VLAN 99: Misafir Wi-Fi (İnternet
erişimi var, şirket iç kaynaklara erişim yok - captive portal)
- Veri Merkezleri:
- VLAN 100: Web Sunucuları
- VLAN 200: Veritabanı
Sunucuları (Web VLAN'ından erişilebilir ama doğrudan
internete kapalı)
- VLAN 300: Yönetim (İdari
erişim için)
- Ev
Ağları: Birçok "akıllı"
veya "yönetilebilir" ev switch'i ve router (örneğin Ubiquiti
UniFi) temel VLAN desteği sunar. Örneğin, güvenlik
kameralarını (IoT cihazları) ana
bilgisayarlarınızdan ayırmak için kullanabilirsiniz.
Önemli
Uyarılar ve İpuçları
- VLAN 1'i
Kullanmayın: Varsayılan VLAN 1'i yönetim,
kullanıcı veya herhangi bir amaç için kullanmaktan
kaçının. Tüm portlar başlangıçta VLAN 1'dedir ve
atanmamış portlar da VLAN 1'de kalmaya devam eder. Bu, güvenlik
açığı oluşturur. Tüm kullanıcı/cihaz
VLAN'larını native VLAN dışında (örneğin VLAN 10, 20, 30)
oluşturun ve kullanılmayan portları shutdown edip "kara delik" (örneğin VLAN 666 gibi
herhangi bir yere yönlendirilmeyen) bir VLAN'a atayın.
- Native VLAN: Bir trunk portunda, etiketsiz (untagged) gelen trafik
hangi VLAN'a aittir? İşte bu VLAN'a Native
VLAN denir. Varsayılan olarak Native VLAN =
VLAN 1'dir. Çok ciddi bir VLAN hopping saldırısı riski
oluşturduğu için, Native VLAN'ı
kullanılmayan, farklı bir VLAN ID ile değiştirmelisiniz (örneğin VLAN 999). Komutu:
`switchport trunk native vlan 999`
- VLAN Hopping
Saldırısı: Saldırganın, kendi
VLAN'ının dışındaki bir VLAN'a erişmeye
çalışmasıdır. Doğru trunk konfigürasyonu ve native
VLAN değiştirilerek önlenir.
Link Aggregation, iki ağ cihazı (örneğin bir switch ile bir
sunucu veya iki switch) arasındaki birden fazla fiziksel
bağlantıyı (Ethernet kablolarını) tek bir mantıksal bağlantı
gibi çalışacak şekilde birleştirme tekniğidir. Bu
birleştirilmiş bağlantıya genellikle Ara Topluluğu (Trunk) veya Toplanmış Bağlantı (Aggregated Link) adı verilir.
Bu teknoloji, farklı üreticiler
tarafından farklı isimlerle anılabilir:
- Cisco: EtherChannel
- Genel IEEE standardı:
802.1AX (eski adıyla 802.3ad)
- Diğer yaygın isimler: Port Trunking, Port Bonding, NIC Teaming (genellikle sunucu
tarafında)
Link Aggregation'ın
Sağladığı Temel Faydalar
1.Artırılmış Bant
Genişliği (Bandwidth Aggregation): İki
cihaz arasındaki toplam veri aktarım hızını
artırır. Örneğin, 4 adet 1 Gbps'lik bağlantıyı
birleştirerek teorik olarak 4 Gbps'lik bir mantıksal
bağlantı elde edersiniz. (Gerçek dünyada bazı ek yükler
olabilir).
2.Yedeklilik ve Hata Toleransı
(Redundancy & Failover): Topluluktaki fiziksel
bağlantılardan biri koparsa (kablo hasarı, port
arızası gibi), trafik otomatik olarak kalan sağlıklı
bağlantılara yönlendirilir. Bu sayede ağ
bağlantısı kesintisiz devam eder. Kullanıcı bu
arızayı hissetmez.
3.Yük Dengeleme (Load Balancing): Gelen ve giden veri trafiği, topluluktaki fiziksel
bağlantılar arasında belirli bir algoritmaya göre
dağıtılır. Bu sayede tek bir bağlantının
aşırı yüklenmesi engellenir ve kaynaklar daha verimli
kullanılır.
Nasıl
Çalışır? (Yük Dengeleme Mantığı)
Link Aggregation, tek
bir akışın (örneğin tek bir büyük dosya kopyalama
işlemi) hızını birleştirilmiş toplam hıza
çıkaramaz. Bu çok önemli bir noktadır.
Tek bir TCP/UDP
akışı (connection), topluluk içindeki tek
bir fiziksel bağlantıya yönlendirilir.
Bu nedenle, 4 x 1 Gbps'lik bir toplulukta tek bir dosya transferi maksimum 1
Gbps hızla gider.
Peki
faydası nedir?
Faydası, çok sayıda paralel akış olduğunda ortaya çıkar. Örneğin, 10
farklı kullanıcı aynı anda bir sunucuya dosya yüklüyorsa,
bu 10 akış topluluk içindeki 4 fiziğe
dağıtılır ve toplam verim 4 Gbps'ye yaklaşabilir.
Yük
Dengeleme Algoritmaları (Hangi akış hangi fiziksel
bağlantıya gider?):
- Kaynak/Source MAC: Aynı
MAC adresinden gelen tüm trafik aynı fiziksel porta gider.
- Hedef/Destination MAC:
Aynı MAC adresine giden tüm trafik aynı porta gider.
- Kaynak + Hedef MAC
(En yaygın): Aynı cihaz çifti arasındaki
trafik aynı porta yönlendirilir. (Bu, iki cihaz arasındaki tek
akışın sıralı teslimini garanti eder).
- Kaynak + Hedef IP
(ve Port): Daha detaylı dağıtım
sağlar. Aynı IP çiftleri veya aynı TCP/UDP port çiftleri
aynı fiziksel bağlantıyı kullanır.
🧱 Link Aggregation Nasıl
Yapılır? (Konfigürasyon)
İki şekilde
yapılabilir:
1.Statik (Manual/On Mode):
Her iki cihaza da "bu bağlantı noktalarını
birleştir" komutu verilir. Basittir ancak bir tarafta hata olursa
diğer taraf bunu anlamayabilir (loop, paket kaybı riski).
2.Dinamik (LACP - Link Aggregation Control
Protocol): IEEE 802.1AX standardının bir
parçasıdır. Cihazlar otomatik olarak birbirlerini tanır,
topluluk oluşturup oluşturmayacaklarına karar verir,
hataları tespit eder ve sürekli durumu kontrol eder. Önerilen ve en güvenilir yöntem LACP'dir. LACP'nin 'Active' (aktif olarak LACP paketi gönderir) ve
'Passive' (yalnızca gelen LACP paketine yanıt verir) modları
vardır. En az bir taraf 'Active' olmalıdır.
channel-group 1 mode active# Bu fiziği port-channel 1'e ekle,
LACP aktif
spanning-tree portfast disable # STP
sorunları için genelde disable edilir
interface
gigabitethernet 0/2
channel-group 1 mode active
interface
gigabitethernet 0/3
channel-group 1 mode active
```
Kullanım Alanları (Gerçek Dünya
Örnekleri)
1.Switch - Switch Bağlantısı: Ofis veya veri merkezindeki iki switch arasında hem bant
genişliğini artırmak hem de yedeklilik sağlamak için.
2.Switch - Sunucu Bağlantısı: Yoğun trafik alan bir dosya sunucusu, web sunucusu veya
depolama (NAS/SAN) cihazını ağa bağlamak için.
3.Switch - Router Bağlantısı: Özellikle yük dağıtımı (load balancing)
veya yüksek kullanılabilirlik gereken omurga ağlarında.
4.Sunucu Sanallaştırma: VMware ESXi, Microsoft Hyper-V gibi hipervizörlerde, yönetim,
canlı geçiş (vMotion) ve sanal makine trafiğini
ayırmak/artırmak için sıklıkla kullanılır.
Dikkat
Edilmesi Gerekenler (Sınırlamalar ve Önemli Noktalar)
- Aynı Hız
ve Dupleks: Birleştirilen tüm fiziksel
bağlantılar aynı hızda (hepsi 1 Gbps, hepsi 10 Gbps gibi)
ve aynı çalışma modunda (tam çift yönlü - full duplex)
olmalıdır.
- Aynı Port Tipi: Genelde
hepsi aynı tip portlar olmalıdır (hepsi RJ45 veya hepsi SFP
gibi).
- Yük Dengeleme
Garantisi Yok: Algoritma her zaman "mükemmel"
dağıtım yapamaz. Bazen bir bağlantı diğerlerine
göre daha fazla yüklenebilir.
- Tek Akış
Hızı Artmaz: Unutmayın, bir dosya
kopyalama işleminiz iki kat daha hızlı olmayacaktır.
Çoklu kullanıcı/trafik senaryolarında fayda sağlar.
- Switch ve Cihaz
Desteği: Tüm switch'ler ve NIC'ler (Ağ Arayüz
Kartları) Link Aggregation'ı desteklemez. Özellikle yönetimsiz
switch'lerde bu özellik bulunmaz.
Ağ
dünyasında stacking (yığınlama), birden fazla fiziksel
switch'i özel yığınlama kabloları/portları
aracılığıyla birbirine bağlayarak, tek bir mantıksal switch gibi
çalışmasını ve yönetilmesini sağlayan bir
teknolojidir .
🧱
Stacking Nasıl Çalışır ve Temel Kavramlar?
Stack yapısı, kendi içinde belirli
rollere sahip switch'lerden oluşur:
-Stack Master (Ana Birim): Yığının kontrol düzlemini (control plane)
elinde tutan ve tüm yapılandırmayı yöneten ana switch'tir. Tüm
yığın tek bir IP üzerinden bu birim üzerinden yönetilir .
-Standby (Yedek Birim):
Ana birimin herhangi bir nedenle devre dışı kalması
durumunda, kesintisiz olarak onun görevini devralmak için bekleyen ikincil
yönetim birimidir .
-Stack Member (Üye Birimler): Yığındaki diğer switch'lerdir. Tüm
yapılandırma ve yönetim işlemleri Master üzerinden
yapılır ve bu üyelere otomatik olarak dağıtılır
.
Yığındaki
switch'ler genellikle bir halka (ring) veya daisy-chain (doğrusal) topolojisinde birbirine bağlanır. Halka topolojisi,
bağlantılardan biri kopsa bile iletişimin devam edebilmesi
için yedeklilik sağlar .
✅
Stacking'in Avantajları
Stacking, özellikle büyük ve yönetilmesi zor
ağ altyapıları için çok önemli faydalar sunar:
-Tek Noktadan Yönetim (Single IP
Management): Birden fazla switch'i ayrı ayrı
yapılandırmak ve her birinin IP'sini takip etmek zorunda
kalmazsınız. Tüm yığın, sanki tek bir
switch'miş gibi tek bir IP adresi üzerinden yönetilir . VLAN gibi global
yapılandırmaları her switch'e tek tek girmek yerine, sadece
Master üzerinde yapmanız yeterlidir.
-Yüksek Erişilebilirlik ve Yedeklilik
(High Availability): Bu, stacking'in en büyük
artılarından biridir.
-Ana Birim Arızası (Master Failover):
Master switch arızalandığında, Standby birim otomatik
olarak devreye girer ve ağ genelinde genellikle hissedilmeyen bir
geçiş (failover) sağlanır .
-Kesintisiz Yönlendirme (Non-stop
Forwarding): Kontrol düzlemi yeniden başlasa
bile, veri düzlemi (data plane) paketleri yönlendirmeye devam eder. Bu sayede
ana birimde bir sorun olsa bile ağdaki cihazların
bağlantısı kesilmez .
-Yüksek Bant Genişliği ve
Bağlantı Yedekliliği (LACP): Bir sunucuyu
veya başka bir ağ cihazını yığına
bağlarken, Link Aggregation Control Protocol
(LACP) kullanarak bağlantıyı
yığındaki farklı fiziksel switch'lere
dağıtabilirsiniz. Bu sayede hem toplam bant genişliği
artar hem de bir switch veya bağlantı noktası
arızalandığında bağlantı devam eder. Bu,
stacking olmadan mümkün değildir .
-Kolay Genişletilebilirlik ve
Esneklik: Yığına yeni bir switch
eklemek (hot add) veya çıkarmak (hot remove) genellikle çok basittir.
Yeni eklenen switch'in donanım yazılımı (firmware) ve
yapılandırması, Master tarafından otomatik olarak
senkronize edilir .
❌
Stacking'in Dezavantajları ve Dikkat Edilmesi Gerekenler
Her güçlü teknolojide olduğu gibi stacking'in
de bazı bedelleri ve riskleri vardır:
-Ortak Kader (Common Fate): Yığındaki tüm switch'ler tek bir
mantıksal varlık olarak çalıştığı için,
özellikle yazılımsal bir sorun (bug) tüm yığını
aynı anda etkileyebilir. Bu durumda tüm switch'ler aynı anda devre
dışı kalabilir .
-Satıcıya ve Modele
Bağımlılık (Proprietary): Stacking,
genellikle satıcıya özel (proprietary) protokoller ve kablolar
kullanır. Bir stack oluşturmak için
kullandığınız switch'lerin aynı üreticiden ve
genellikle aynı seriden/aileden olması gerekir . Bu da sizi belirli
bir satıcıya bağımlı kılar.
-Maliyet: Stacking
özelliğine sahip switch'ler, aynı port yoğunluğundaki
stack özelliği olmayan switch'lere göre daha pahalıdır.
Ayrıca, özel yığınlama kabloları da ek bir maliyet
kalemidir .
-Karmaşıklık (Özellikle
Sorun Giderme): Sorun giderme bazen daha
karmaşık olabilir. Yığın içindeki bir sorunu tekil
bir switch'teki sorundan ayırt etmek, satıcıya özel
protokoller nedeniyle zorlaşabilir .
🤔
Stacking mi, Trunking (Uplink) mi? Hangisi Ne Zaman Kullanılmalı?
Bu iki kavram
sıklıkla karıştırılır. İkisi de
switch'leri birbirine bağlamak için kullanılır, ancak
farklı amaçlara hizmet ederler.
Özellik
Stacking (Yığınlama)
Trunking / Uplink (Kanal Birleştirme)
Mantıksal Yapı
Birden çok switch, tek bir mantıksal switch
haline gelir
Her switch
bağımsızdır; aralarında bir bağlantı
(link) vardır.
Yönetim
Tek IP ile tek bir arayüzden yönetilir .
Her switch'in kendi IP'si ve yönetim arayüzü
vardır.
LACP Desteği
Evet. LACP bağlantısı yığındaki
farklı fiziksel switch'ler üzerinden kurulabilir .
Hayır. LACP bağlantısı sadece aynı fiziksel
switch üzerinde kurulabilir.
Yedeklilik
Yüksek. Ana birim arızası, bağlantı
arızası gibi durumlarda otomatik failover yapılır .
Sınırlı. Bağlantı arızalarına karşı
yedeklilik sağlanabilir (örn. STP, LAG). Ancak bir switch tamamen
giderse bağlantılar kaybolur.
Donanım Uyumu
Aynı üretici ve
genellikle aynı model/aileden olmalıdır .
Farklı üretici,
farklı model switch'ler sorunsuzca bağlanabilir .
Kullanım Amacı
Port
yoğunluğunu artırma, yönetimi basitleştirme, üst düzey
yedeklilik sağlama (özellikle access katmanında).
Farklı
katmanlardaki (omurga, dağıtım) switch'leri birbirine
bağlama ve bant genişliği artırma.
🤔 Peki ne zaman ne tercih edilmeli?
-Stacking'i tercih edin eğer;
-Ofis katı gibi bir alanda çok sayıda port'a
ihtiyacınız varsa ve tüm bu switch'leri tek bir cihaz gibi yönetmek
istiyorsanız.
-Özellikle access katmanında (uç
cihazların bağlandığı katman) yüksek erişilebilirlik ve basit yönetim
hedefliyorsanız.
-Sunucularınızı veya omurga switch'lerinizi,
bağlantı kesintisi olmadan bir switch arızasına
dayanabilecek şekilde (LACP ile) yığının birden çok
üyesine bağlamak istiyorsanız.
-Trunking/Uplink'i tercih edin eğer;
-Farklı marka veya modellerde switch'leri birbirine
bağlamanız gerekiyorsa (örneğin, omurga switch'iniz ile access
switch'lerinizi bağlamak).
-Bütçeniz kısıtlıysa ve
yüksek yedeklilik yerine maliyet öncelikliyse.
-Çok karmaşık bir ağınız yoksa ve sadece iki
switch arasında daha fazla bant genişliğine ihtiyaç
duyuyorsanız (bu durumda portları bir LAG'da toplayabilirsiniz).
Özetle, stacking
güçlü ve merkezi bir yönetim sunarken, trunking ise daha esnek ve
satıcıdan bağımsız bir bağlantı
yöntemidir. Doğru seçim, ağınızın büyüklüğüne,
bütçenize ve ihtiyacınız olan yedeklilik seviyesine
bağlıdır.
STP (Spanning Tree
Protocol), ağ switchlerinde loop'ları
(döngüleri) önlemek için kullanılan bir
protokoldür. Aynı ağda birden fazla path (yol) olduğunda
broadcast storm'larını engeller ve yedekli
bağlantıları yönetir.
STP Türleri
1. STP (802.1D) - Klasik STP
- Öncül, yavaş (convergence süresi
30-50 saniye)
- Günümüzde pek kullanılmaz
2. RSTP (802.1w) - Rapid STP
- Hızlı convergence (1-3 saniye)
- En yaygın kullanılan
- Geriye dönük uyumlu
3. MSTP (802.1s) - Multiple STP
- VLAN bazlı birden fazla spanning
tree instance'ı oluşturur
- Yük dengeleme için idealdir
- RSTP'ye dayanır
4. PVST+ (Cisco proprietary)
- Her VLAN için ayrı bir STP
instance'ı
- Cisco switchlerde varsayılan
5. Rapid PVST+
- PVST+ + RSTP kombinasyonu
- Cisco'da performanslı ve
yaygın
Switchlerde STP Nasıl
Çalışır?
1. Root Bridge Seçimi
- En düşük Bridge ID (Priority + MAC)
olan switch seçilir
2. Port Rolleri
- Root
Port (RP): Root Bridge'e giden yol
-
Designated Port (DP): Segmentte en iyi yol
-
Alternate/Backup Port: Yedek, blocking durumda
3. Port Durumları
-
Blocking: Data göndermez, BPDU dinler
-
Listening: BPDU dinler, aktarılır
-
Learning: MAC adreslerini öğrenir
-
Forwarding: Normal data akışı
Örnek
Yapılandırma (Cisco)
```bash
# STP modunu
değiştirme
Switch(config)#
spanning-tree mode rapid-pvst
# Root bridge ayarlama
Switch(config)#
spanning-tree vlan 1 root primary
# PortFast (uç cihazlar
için)
Switch(config-if)#
spanning-tree portfast
# Port rolü kontrolü
Switch# show
spanning-tree vlan 1
```
🤔 Ne Zaman Hangi STP Kullanılır?
Durum
Önerilen STP
Küçük ağ (10-20 switch)
RSTP (802.1w)
Cisco omurga
Rapid PVST+
VLAN bazlı yük dengeleme
MSTP (802.1s)
Eski switchler
Klasik STP (802.1D)
📍 Önemli Not: STP loop riskine karşı mutlaka açık olmalıdır, ancak portFast ve edge port
ayarlarıyla convergence hızlandırılabilir.
Port Mirroring
(aynalama), bir switch portundaki trafiği
başka bir porta kopyalayarak ağ
analizi, sorun giderme veya güvenlik izleme
amacıyla kullanılır. Ağ trafiğini kesintisiz izlemek
için IDS/IPS, Wireshark veya ağ analizör cihazlarına veri
sağlar.
Çalışma Prensibi
- Kaynak port (Source): İzlenmek istenen trafiğin olduğu port
- Hedef port (Destination): Trafiğin
kopyalanıp gönderildiği port (analiz cihazının
bağlı olduğu)
- Mirroring portunu normal
kullanım için kullanmayın
- Bazı switchlerde hedef portu mapping
yapılır, aynı porta birden fazla source atanabilir
- Yüksek bantlı (10G+) ağlarda SPAN portu darboğaz olabilir
Özet: Port mirroring, ağ trafiğini canlı analiz
etmenin en temel ve etkili yöntemidir. Ancak dikkatli
yapılandırılmazsa ağ performansını olumsuz
etkileyebilir.
NAT (Network Address Translation - Ağ
Adresi Dönüştürme), bir ağdaki cihazların
(genellikle özel IP adresleriyle) internete çıkarken tek bir genel IP
adresi (veya birkaç adres) üzerinden iletişim kurmasını
sağlayan bir yöntemdir. Temel amacı, IPv4 adreslerinin tükenmesini
önlemek ve güvenliği artırmaktır.
1. NAT Nedir
ve Neden Kullanılır?
- IPv4 Adres
Tasarrufu: Her cihaza gerçek (public) IP vermek yerine,
local ağda private IPler (192.168.x.x,
10.x.x.x, 172.16.x.x) kullanılır.
- Güvenlik: İç ağ yapısını dış
dünyadan gizler. Dışarıdan direkt iç ağdaki bir cihaza
erişim zordur (varsayılan olarak engellenir).
- Esneklik: İç ağdaki IP adreslerini değiştirmeden
servis sağlayıcı (ISP) değiştirilebilir.
2. NAT
Çeşitleri
NATın işlevine ve yönlendirme
şekline göre 4 ana türü vardır:
A) Statik
NAT (Static NAT)
- Bire bir eşleme: Bir
private IP → bir public IP (sabit).
- Genellikle dış dünyadan (internetten)
ulaşılması gereken bir sunucu (web, mail) için
kullanılır.
- Artı: Dıştan
ulaşım sabit IP ile garantidir.
- Eksi: Her cihaz için
ayrı bir public IP gerekir tasarruf sağlamaz.
B) Dinamik
NAT (Dynamic NAT)
- Havuzdaki public IPler, ihtiyaç anında iç
ağdaki cihazlara otomatik ve geçici olarak atanır.
- Hangi iç IPnin hangi public IPyi
alacağı önceden belirli değildir (bir havuzdan rastgele).
- Kullanım: Çalışanların internete çıkması gibi
durumlarda. Yine de havuzdaki public IP sayısı kadar
eşzamanlı dış çıkış desteklenebilir.
C) PAT (Port
Address Translation) / NAT Overloading
(En yaygın tür, ev ve küçük ofis
routerlarında kullanılır)
- Bir veya birkaç public IP üzerinden tüm iç
cihazlar internete çıkar.
- Farklı cihazlar arasında ayrım
yapmak için port numaraları kullanılır.
- Örnek:
- PC1 (192.168.1.2:12345) → public
IP (1.2.3.4:12345)
- PC2 (192.168.1.3:12345) → public
IP (1.2.3.4:12346)
(Kaynak port farklı olduğu için
geri dönen paketler doğru cihaza yönlendirilir)
- Bu sayede 4000den fazla eşzamanlı bağlantı tek bir public IP ile
yönetilebilir.
D) Maskeli
NAT (Masquerading)
- Aslında PATın bir türüdür (Linux
iptablesta yaygın).
- Routerın kendi aldığı dinamik public IPyi (DHCP üzerinden) otomatik olarak kullanmasını
sağlar. ISPnin IPsi değiştiğinde yeniden
yapılandırma gerektirmez.
- Uçtan
uca bağlantıyı kırar
(Peer-to-peer, VoIP, çok oyunculu oyunlarda sıkıntı
çıkabilir bu nedenle STUN, TURN veya IPv6 gerekir)
- Bazı protokoller (FTP, SIP) NATtan
etkilenir ALG (Application Layer Gateway) desteği gerekebilir.
- Loglama ve izleme
zorlaşabilir (hangisi dışarı hangi porttan
çıkmış izi sürülür).
4. Hangi
Durumda Hangisi Kullanılır?
İhtiyaç| Önerilen NAT Türü |
İnternete
çıkmak (PC, telefon, tablet)| PAT (NAT Overloading)
Dışarıdan web sitene erişim
olacak| Statik
NAT (veya Port Yönlendirme PATın bir yeteneği)
Şirkette çok sayıda public IP var, her
çalışan için sabit eşleme istenmiyor| Dinamik NAT
Routerın ISPden aldığı IP
değişiyor (DSL, mobil modem)| Masquerading (dinamik PAT)
5. NAT ve
Güvenlik İlişkisi
- NAT tek başına bir
güvenlik duvarı değildir ama güvenliği katkı sağlar.
- Varsayılan
olarak dışarıdan gelen
bağlantıları engeller (stateful
firewall olmadan bile). Ancak yine de bir güvenlik duvarı
kullanılması önerilir.
- Port Yönlendirme
(Port Forwarding) ile dışarıdan gelen
belirli portlardaki trafik içerideki bir cihaza yönlendirilebilir bu
dikkatli yapılmazsa risk oluşturur.
Özetle: Günlük
hayatta kullandığınız ev router'ı PAT (NAT Overloading) yapar. Statik NAT ise genelde bir
sunucunuz varsa kullanılır. Dinamik NAT ve Masquerading ise daha çok kurumsal veya esnek yapılarda tercih
edilir.
FortiGate
Central NAT, NAT (Ağ Adresi Çevirisi)
kurallarını güvenlik duvarı (firewall) politikalarından
ayırarak ayrı bir tabloda yönetilmesini sağlayan bir
özelliktir. Karmaşık ağlarda SNAT (kaynak NAT) kurallarını
basitleştirir, politikaları daha okunabilir kılar ve
gelişmiş, esnek NAT yönetimi sunarak hata riskini
azaltır.
FortiGate Central NAT Ne İşe Yarar?
Yönetim
Kolaylığı: NAT kuralları
güvenlik duvarı kurallarından ayrı tutulduğu için,
yüzlerce kural arasında NAT ayarını bulmak zorunda
kalmazsınız.
Karmaşık
Ağlarda Esneklik: Özellikle birden fazla WAN
bacağı veya karmaşık NAT ihtiyaçları (örneğin;
belirli kaynakların farklı IP'lere NAT'lanması)
olduğunda, SNAT (Source NAT) ve DNAT (Destination NAT/VIP)
işlemlerini daha granüler (ayrıntılı) yönetmenizi
sağlar.
Politika
Karmaşasının Önlenmesi: Geleneksel
yöntemde (Policy NAT) NAT ayarı kuralın içine gömülür. Central NAT
ile güvenlik politikası sadece trafiğe izin verip vermemeye
odaklanırken, NAT işlemi ayrı bir tabloyla
gerçekleştirilir.
📍 Hata
Payının Düşmesi: Yanlışlıkla bir
"no-nat" kuralının üst üste gelmesi gibi hataları
önler, kuralların sırasının kritik olduğu durumlarda
bile daha tutarlı sonuçlar verir.
Policy NAT
(Default) ve Central NAT Farkı
Policy
NAT: NAT ayarı firewall kuralının
(policy) içinde yapılır. Küçük yapılar için uygundur.
Central NAT: NAT ayarı Policy & Objects > Central
SNAT bölümünde, güvenlik kuralları ise Firewall
Policy bölümünde ayrı ayrı yapılandırılır.
Büyük ve kompleks yapılar için önerilir.
Nasıl
Etkinleştirilir?
System > Feature
Visibility altından veya CLI
üzerinden set central-nat enable komutu ile
aktifleştirilebilir.
CGNAT (Carrier Grade NAT),
internet servis sağlayıcılarının (İSS)
sınırlı IPv4 adreslerini yönetmek için tek bir genel IP
adresini yüzlerce kullanıcı arasında
paylaştırdığı bir ağ adres çeviri
teknolojisidir. Genellikle mobil verilerde ve ev internetinde port açma
gerektirmeyen standart kullanımlarda aktif olan bu yapı, IPv4
tükenme sorununu çözer.
CGNAT
Nedir ve Nasıl Çalışır?
IP
Paylaşımı: Tek bir "genel" IP adresi, birçok
müşteriye aynı anda atanır.
Port Numaraları:
İSS, kullanıcıları ayırt etmek için her birine özgü
port numaraları atar.
Kullanım Alanı: Türkiye'deki tüm GSM operatörleri ve çoğu ev interneti
ISS'si bu yöntemi kullanır.
Amacı: IPv4
adres havuzunun tükenmesi nedeniyle yeni kullanıcılara IP tahsisi
yapabilmek.
CGNAT'ın
Etkileri ve Zorlukları
Port Açma Sorunu:
CGNAT altındayken, modem üzerinden kameralara veya NAS cihazlarına
uzaktan erişim için port yönlendirme (port forwarding) yapılamaz.
Adli Bilişim:
Tek IP adresi birçok kişi tarafından
kullanıldığı için, yasal takiplerde
kullanıcıların ayırt edilmesi zorlaşabilir.
Statik IP Çözümü:
Port açmak veya cihazlarınıza dışarıdan erişmek
istiyorsanız, İSS'nizden Statik IP hizmeti alarak CGNAT ağından çıkabilirsiniz.
CGNAT
Altında mıyım?
Modem arayüzünüzdeki
WAN IP adresi ile IP Sorgulama sitelerinde görünen IP adresi birbirinden
farklıysa CGNAT arkasındasınız demektir.
