Ağımızın mimarisini kurduk, bant genişliğini katladık ve güvenlik politikalarımızı (802.1X, DAI, Port Security) sıkılaştırdık. Ancak operasyonel süreçlerde sistemcilerin en temel kuralı şudur: Görmediğiniz şeyi yönetemezsiniz.

Bir port hata verip kapandığında, cihaz donanımsal bir arıza yaşadığında veya omurga hattında trafik darboğazı oluştuğunda bundan anında haberdar olmamız gerekir. Cihazın içinde olup bitenleri körü körüne tahmin etmek yerine, cihazı kurumsal izleme sistemlerimize entegre edeceğiz. Bu bölümde ağın görünürlüğünü sağlayan dört temel protokolü yapılandıracağız.

Zamanın Doğruluğu: NTP (Network Time Protocol)

Logları merkezi bir sunucuya göndermeden önce çözmemiz gereken kritik bir sorun var: Cihazın saati. Eğer ağdaki bir switch'in saati 2015 yılını, diğerininki 2026'yı gösteriyorsa, oluşan bir kesintinin kök nedenini (Root Cause Analysis) bulmak imkansızlaşır. Ayrıca bir önceki bölümde kurduğumuz 802.1X ve sertifika tabanlı kimlik doğrulama işlemleri, saatler senkronize değilse anında başarısız olur.

Cihazlarımızın saatini ağımızdaki (veya internetteki) bir NTP sunucusundan almasını sağlıyoruz:

! Öncelikle cihazın saat dilimini (Timezone) Türkiye'ye (UTC+3) göre ayarlıyoruz:
Merkez-SW1(config)# clock timezone TR 3
! Kurumsal NTP sunucumuzun IP adresini giriyoruz:
Merkez-SW1(config)# ntp server 192.168.10.100

(Doğrulamak için show ntp status ve show clock komutları kullanılır. Cihazın senkronize olması birkaç dakika sürebilir.)

Olayları Merkezi Olarak Kaydetme: Syslog

Cisco switch'ler varsayılan olarak logları kendi RAM'lerinde (Logging Buffer) tutarlar. Bu durum, cihaz yeniden başladığı anda tüm hata geçmişinin silinmesi anlamına gelir. Sorun giderme (Troubleshooting) için cihaz loglarını merkezi bir Syslog sunucusuna (örneğin PRTG, Splunk veya açık kaynaklı bir sunucuya) anlık olarak göndermeliyiz.

! Logların gönderileceği merkezi sunucuyu belirtiyoruz:
Merkez-SW1(config)# logging host 192.168.10.101
! Gönderilecek logların seviyesini belirliyoruz. 
! 'informational' (Seviye 6) seviyesi, portların up/down olması dahil çoğu yararlı detayı içerir.
Merkez-SW1(config)# logging trap informational
! Syslog mesajlarına tarih ve milisaniye bilgisini ekliyoruz ki olayları tam zamanında görebilelim:
Merkez-SW1(config)# service timestamps log datetime msec
! Son olarak loglamayı aktif ediyoruz:
Merkez-SW1(config)# logging on

Ağın Kalp Atışlarını İzlemek: SNMPv3 Konfigürasyonu

Syslog bize "ne olduğunu" söylerken, SNMP (Simple Network Management Protocol) bize "şu anki durumu" gösterir. CPU kullanımı, bellek tüketimi, portlardan geçen anlık trafik miktarı ve sıcaklık değerleri gibi verileri Zabbix, SolarWinds gibi NMS (Network Management System) yazılımlarına SNMP aracılığıyla aktarırız.

Neden SNMPv3?

SNMPv1 ve v2c, verileri ağda şifrelemeden (clear-text) taşır. Ağınızda ARP Spoofing yapan biri veya araya giren bir yazılım, switch'in tüm donanım verilerini rahatça okuyabilir. Bu yüzden kurumsal standartlarda her zaman kimlik doğrulama ve şifreleme (AuthPriv) sunan SNMPv3 kullanılır.

Adım Adım SNMPv3 Kurulumu:

! 1. Adım: Yetkileri belirleyen bir SNMP grubu oluşturuyoruz. (v3 kullanılacak ve şifreli olacak)
Merkez-SW1(config)# snmp-server group MONITOR_GRP v3 priv
! 2. Adım: Bu gruba ait bir kullanıcı tanımlıyoruz. 
! Kimlik doğrulama için SHA, veri şifrelemesi için AES-128 kullanıyoruz.
Merkez-SW1(config)# snmp-server user NMS_USER MONITOR_GRP v3 auth sha GucluAuthPass1! priv aes 128 GucluPrivPass2!

Artık izleme yazılımımız, bu kullanıcı adı ve şifreleri kullanarak switch'imizden güvenli bir şekilde metrikleri çekebilir.

Topolojiyi Keşfetme: CDP ve LLDP

"Burası neresi ve bu portun ucunda ne var?" Bir sistem yöneticisinin dökümantasyonu eksik bir ağda en çok sorduğu sorudur. Cihazların birbirlerini tanımasını sağlayan komşuluk protokolleri hayat kurtarır.

   CDP (Cisco Discovery Protocol): Cisco'ya özeldir. Sadece Cisco cihazlar birbirini tanır. Varsayılan olarak açıktır.

   LLDP (Link Layer Discovery Protocol): Endüstri standardıdır (IEEE 802.1AB). Fortinet firewall, HP switch, VMware sunucusu gibi farklı marka cihazların birbirini görmesini sağlar. Varsayılan olarak kapalıdır.

Modern ve çok markalı (multi-vendor) ağlarda CDP'nin yanına LLDP'yi de açmak en iyi uygulamadır.

! CDP genellikle varsayılan olarak açıktır ama emin olmak için:
Merkez-SW1(config)# cdp run

! LLDP'yi global olarak aktif ediyoruz:
Merkez-SW1(config)# lldp run

Doğrulama Komutları:

Bir portun ucunda hangi cihazın olduğunu ve o cihazın hangi portuna bağlı olduğumuzu görmek için bu komutlar paha biçilemezdir.

! Cisco cihazları görmek için:
Merkez-SW1# show cdp neighbors
! Farklı marka cihazları ve sunucuları görmek için:
Merkez-SW1# show lldp neighbors

(Eğer daha fazla detaya, örneğin karşı cihazın IP adresine ve IOS sürümüne ihtiyacınız varsa komutların sonuna detail ekleyebilirsiniz: show cdp neighbors detail)

Artık ağımız sadece hızlı ve güvenli değil; aynı zamanda tamamen izlenebilir, şeffaf ve yönetilebilir durumda.

Serimizin final yazısında, bir sistem yöneticisinin kabuslarını önleyecek olan operasyonel kurtarma senaryolarına geçiyoruz. Bir sonraki bölümde; IOS İmaj Güncellemesi (Upgrade), Konfigürasyon Yedekleme Süreçleri ve Unutulan Cihaz Parolalarını Kurtarma (Password Recovery) adımlarını uygulamalı olarak işleyeceğiz.