Serimizin başından beri bir Cisco switch'i kutusundan çıkardık, ağa dahil ettik, bant genişliğini artırdık ve en uç noktasına kadar güvenliğini sağladık. Ancak kurumsal ağ yönetiminde asıl iş "Day 2" (İkinci Gün) operasyonları dediğimiz bakım ve acil durum kurtarma süreçlerinde başlar.
Bir ağın sorunsuz çalışması yetmez; o ağın yedeğinin alınmış olması, işletim sisteminin (IOS) güncel zafiyetlere karşı yamanması ve en kötü senaryoda (örneğin yönetici parolasının unutulması) cihaza tekrar erişilebilmesi gerekir. Serimizin bu final bölümünde, bir sistem yöneticisinin hayatını kurtaracak üç kritik operasyonu adım adım uygulayacağız.
Hayat Kurtaran Alışkanlık: Konfigürasyon Yedekleme
Yaptığınız onca 802.1X, DAI ve EtherChannel ayarından sonra switch'in donanımsal olarak arızalandığını (örneğin anakartının yandığını) düşünün. Eğer elinizde güncel bir yedek yoksa, saatlerce süren o konfigürasyon sürecine sıfırdan başlamak zorunda kalırsınız.
Kurumsal ağlarda yapılandırma dosyaları (startup-config) periyodik olarak bir TFTP veya SCP (Secure Copy) sunucusuna yedeklenmelidir.
TFTP Sunucusuna Yedek Alma İşlemi:
Ağınızda IP adresi 192.168.10.200 olan bir TFTP sunucusu (örneğin SolarWinds TFTP veya tftpd32) çalıştığını varsayalım.
Merkez-SW1# copy running-config tftp:
Address or name of remote host []? 192.168.10.200
Destination filename [merkez-sw1-confg]? Merkez-SW1-Yedek-28Haziran.cfg
!!
1042 bytes copied in 0.812 secsBu kadar basit. Ünlem işaretleri (!!) kopyalama işleminin başarılı olduğunu gösterir. Yeni bir cihaza bu yedeği dönmek istediğinizde işlemi tersine çevirmeniz (copy tftp: running-config) yeterlidir.
Güvenlik ve Performans İçin: IOS İmaj Güncellemesi (Upgrade)
Cisco, işletim sistemi olan IOS için düzenli olarak güvenlik yamaları ve yeni özellikler (yeni nesil RADIUS/TACACS+ destekleri vb.) içeren güncellemeler yayınlar. Switch'in işletim sistemini yükseltmek kritik bir süreçtir ve kesinti (downtime) gerektirir.
Adım 1: Mevcut Durumu ve Boş Alanı Kontrol Etme
Öncelikle cihazın flaş (flash) belleğinde yeni imaj için yeterli yer olup olmadığına bakmalıyız.
Merkez-SW1# show flash:Adım 2: Yeni IOS İmajını Switch'e Kopyalama
İndirdiğiniz .bin uzantılı yeni IOS dosyasını TFTP sunucunuzdan switch'in flash belleğine kopyalıyoruz.
Merkez-SW1# copy tftp: flash:
Address or name of remote host []? 192.168.10.200
Source filename []? c2960x-universalk9-mz.152-7.E4.bin
Destination filename [c2960x-universalk9-mz.152-7.E4.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Adım 3: Boot Sırasını Değiştirme
Switch'e bir sonraki yeniden başlatmada eski imajı değil, yeni yüklediğimiz imajı kullanmasını söylemeliyiz.
Merkez-SW1(config)# no boot system
Merkez-SW1(config)# boot system flash:c2960x-universalk9-mz.152-7.E4.bin
Merkez-SW1(config)# exitSon olarak yapılandırmayı kaydedip (write memory) cihazı yeniden başlatıyoruz (reload). Cihaz açıldığında show version komutu ile yeni sürümü doğrulayabilirsiniz.
Sistemcinin Kabusu: Parola Kurtarma (Password Recovery)
Cihaza konsol kablosuyla bağlısınız ancak daha önce koyduğunuz enable secret parolasını unuttunuz veya cihaz size devredildi ve kimse parolayı bilmiyor. İçerideki konfigürasyonu silmeden parolayı nasıl sıfırlarsınız?
Cisco cihazlarda başlangıç yapılandırması (startup-config) NVRAM'de tutulur. Cihaz açılırken bu dosyayı okumasını engellersek, şifresiz bir şekilde cihaza girebiliriz. Bu işleme Configuration Register değerini değiştirmek denir.
Adım 1: ROMMON Moduna Geçiş
Switch'in fişini çekin ve tekrar takın. Cihaz açılmaya başlarken (POST ekranında) ön paneldeki MODE tuşuna basılı tutun (veya terminalden Ctrl+Break yapın). Cihaz switch: (ROMMON) istemine (prompt) düşecektir.
Adım 2: Başlangıç Yapılandırmasını Atlama (Bypass)
Varsayılan config-register değeri 0x2102'dir. Biz bunu NVRAM'i yok sayacak olan 0x2142 olarak değiştireceğiz.
switch: flash_init
switch: set BAUD 9600
switch: set
switch: confreg 0x2142
switch: bootAdım 3: Parolayı Değiştirme
Cihaz yeniden başladığında yapılandırma yokmuş gibi "System Configuration Dialog" ekranı gelecektir. Buna no deyin. Artık şifresiz olarak Switch> ekranındasınız.
Dikkat: Şu an cihaz boş görünüyor. Hemen eski ayarlarımızı RAM'e geri çekmeliyiz!
Switch> enable
Switch# copy startup-config running-config
Merkez-SW1# (Gördüğünüz gibi cihazın ismi ve eski ayarları geri geldi.)
Şimdi hemen yeni parolamızı belirliyoruz:
Merkez-SW1(config)# enable secret YeniGucluSifre2026!Adım 4: Config-Register Değerini Normale Döndürme
Eğer register değerini eski haline getirmezseniz, cihaz her yeniden başladığında ayarları silinmiş gibi açılır. Bu en sık yapılan hatadır.
Merkez-SW1(config)# config-register 0x2102
Merkez-SW1(config)# exit
Merkez-SW1# write memorySerinin Sonu
Switch konsol ekranında yanıp sönen bir imleçle başladığımız bu yolculukta, cihaz erişiminden Layer 2 segmentasyonuna, yedeklilik protokollerinden 802.1X tabanlı Zero Trust mimarisine ve nihayetinde operasyonel süreçlere kadar kapsamlı bir altyapı inşa ettik.
Umarım bu yazı dizisi, ağ temellerinden başlayıp CCIE seviyesindeki mimarilere ve derinlemesine laboratuvar çalışmalarına uzanan yolda sağlam bir rehber olmuştur. Yeni makalelerde, gelişmiş sistem topolojilerinde ve ağ güvenliği senaryolarında görüşmek üzere. Bağlantınız her zaman stabil, loglarınız her zaman temiz olsun!