Sıfır kutusundan yeni çıkmış bir Cisco switch'i ağa dahil etmeden önce, ona güvenli bir şekilde erişebilmemiz ve temel kimliğini oluşturmamız gerekir. Bu yazıda, konsol bağlantısından başlayarak cihazın temel erişim güvenlik ayarlarını ve SSH konfigürasyonunu adım adım inceleyeceğiz.

Cisco CLI Çalışma Modları

Cisco IOS (Internetwork Operating System), hiyerarşik bir komut satırı arayüzüne (CLI) sahiptir. Yanlışlıkla kritik ayarların değiştirilmesini önlemek için farklı yetki seviyeleri bulunur:

   User EXEC Mod (Switch>): Cihaza ilk bağlandığınızda karşılaştığınız moddur. Yalnızca temel izleme komutlarını çalıştırabilirsiniz; yapılandırma yapılamaz.

   Privileged EXEC Mod (Switch#): Cihazın tüm durumunu görebileceğiniz, yeniden başlatma (reload) ve kaydetme (write) gibi işlemleri yapabileceğiniz moddur. enable komutu ile geçiş yapılır.

   Global Configuration Mod (Switch(config)#): Cihazın genel ayarlarının yapıldığı yerdir. Privileged moddayken configure terminal komutu ile girilir.

Cihaz Kimliği: Hostname Atama

Ağınızda onlarca switch olduğunda, hangi cihaza bağlı olduğunuzu bilmek hayat kurtarır. İlk işimiz switch'e bir isim vermek:

Switch> enable
Switch# configure terminal
Switch(config)# hostname Merkez-SW1
Merkez-SW1(config)#

Yönetim IP'si ve Default Gateway Tanımlama

Switch'i uzaktan (SSH/Telnet) yönetebilmek için bir IP adresine ihtiyacı vardır. Layer 2 switch'lerde fiziksel portlara doğrudan IP verilemez; bunun yerine bir SVI (Switch Virtual Interface) olan VLAN arayüzüne IP atanır.

Merkez-SW1(config)# interface vlan 1
Merkez-SW1(config-if)# ip address 192.168.1.10 255.255.255.0
Merkez-SW1(config-if)# no shutdown
Merkez-SW1(config-if)# exit

Farklı bir alt ağdan bu switch'e erişmek istiyorsak, bir varsayılan ağ geçidi (Default Gateway) belirtmeliyiz:

Merkez-SW1(config)# ip default-gateway 192.168.1.1

Parola Güvenliği ve Şifreleme

Cihazın Privileged EXEC moduna (enable) geçişini mutlaka şifrelemeliyiz. Eski enable password komutu şifreleri açık metin olarak tuttuğu için günümüzde MD5 veya SHA-256 ile şifreleyen enable secret komutu kullanılır.

Merkez-SW1(config)# enable secret GucluSifre123!

Ayrıca konsol ve VTY (uzak bağlantı) şifrelerinin konfigürasyon dosyasında açıkça görünmemesi için global şifreleme servisini açıyoruz:

Merkez-SW1(config)# service password-encryption

Uzaktan Güvenli Erişim: SSH v2 Kurulumu

Telnet trafiği şifrelemediği için ağ dinlemelerinde (sniffing) parolalarınız açıkça ele geçirilebilir. Kurumsal ağlarda standart, her zaman SSH olmalıdır. SSH kurmak için cihazın bir domaine ihtiyacı vardır ve şifreleme anahtarları üretilmelidir.

   Adım 1: Domain Adı ve RSA Anahtarı Üretimi

Merkez-SW1(config)# ip domain-name sirket.local
Merkez-SW1(config)# crypto key generate rsa
! Cihaz size anahtar boyutunu soracaktır. Güvenlik için en az 2048 girin.
How many bits in the modulus [512]: 2048

   Adım 2: Yönetici Kullanıcısı Oluşturma ve SSH'ı Zorunlu Kılma

Merkez-SW1(config)# username admin privilege 15 secret AdminPass!
Merkez-SW1(config)# line vty 0 15
Merkez-SW1(config-line)# login local
Merkez-SW1(config-line)# transport input ssh
Merkez-SW1(config-line)# exit

Artık cihaza sadece oluşturduğumuz admin kullanıcısı ve SSH ile erişilebilir.

Konfigürasyonu Kaydetme

Cisco cihazlarda yapılan değişiklikler anında çalışır (Running-config) ancak cihaz yeniden başladığında RAM'deki bu bilgiler silinir. Yaptığımız ayarları kalıcı hafızaya (NVRAM) kaydetmemiz gerekir.

Merkez-SW1# write memory
! veya alternatif olarak:
Merkez-SW1# copy running-config startup-config

İlk bölümün sonuna geldik. Artık switch'imize güvenli bir şekilde uzaktan erişebilir ve yönetimsel işlemlerimizi SSH üzerinden yürütebiliriz. Bir sonraki bölümde Layer 2 mimarisinin temel taşları olan VLAN'ları ve Trunk konfigürasyonlarını inceleyeceğiz.