BGP COMMUNITY KULLANIMI

Community Nedir?

BGP (Border Gateway Protocol) community’leri, BGP ile değiş tokuş işlemi yapılan rota bilgilerini (prefix) nitelendirmek amacıyla kullanılan etiketlerdir. Bu etiketler sayesinde prefixler kategorize edilebilir ve yönetilebilirler.

BGP community bilgisi komşulara gönderilen veya onlardan alınan update’lere bir ek olarak (TAG) iliştirilirler. Bu ek bilgiler sayesinde komşular alınan prefix’lere karşı şartlandırılabilirler.

Community etiketlerini bir route-map yardımı ile kolayca uygulayabiliriz. Ancak burada dikkat etmemiz gereken nokta şudur: bir community uygulanmış route bilgisi bir diğer komşuya aktarılırken default olarak community etiketi’i silinir öyle gönderilir. Bu sebeple bir devamlılık düşünülüyorsa route bilgisinin gönderildiği veya alındığı tüm yerlerde veya gerekli yerlerde community etiketi uygulanmalıdır.

Okumaya devam et

IS-IS (Intermediate System to Intermediate System) genellikle büyük ölçekli ağlarda hatırı sayılır şekilde tercih edilen bir yönlendirme protokolüdür. Büyük ölçekli olup BGP kullanan (ISP back-bone’lar gibi) ağların IGP gereksinimini karşılamak için protokol aramanız gerekirse doğruca IS-IS’in kapısına gitmelisiniz. Büyük ISP ağlarında diğer protokollere göre daha efektif olduğunu tartışmak gereksiz olduğundan “de-facto” bir standart olarak adlandırılmaktadır.

Diğer protokoller ile karşılaştırmak benim düşüncem olarak mantıksızdır. Çünkü her protokol uygulandığı sistemin büyüklüğü ve işlevine göre seçilmelidir. OSPF ve EIGRP’nin dizayn limitlerinin aşılmasından dolayı performans sorunları yaşanabiliyor ancak IS-IS’de bu handikap aşılmış durumda. Bu noktada diyebiliriz ki IS-IS büyük ölçekli ağlarda daha efektif bir IGP protokolüdür. Bunu yazıyı okumaya devam ettikçe daha iyi anlayacaksınız.

Okumaya devam et

cert1IT dünyasında kişinin uğraştığı alan ile ilgili teknik yeterliliğini ölçmek pek kolay değildir. Bu ölçümün sağlıklı yapılabilmesi için standart ve herkes için eşit olan bir sürece ihtiyaç duyulmaktadır. Kişinin çalıştığı alan ile ilgili bir takım uluslararası sertifikalara sahip olması, bütünüyle olmasa da bu sürece katkı sağlar. Uluslararası sertifikalar, özellikle içinde bulunduğumuz ve rekabetin çok fazla yaşandığı  alanlarda kişilere değer kazandırmakta, ilgili alandaki bilgi seviyesinin uluslararası geçerliliği olacak şekilde  tescillenmesi anlamına gelmektedir.

Daniel Greenspan’ın, “IT Skills  Salary” isimli rapora dayanarak kaleme aldığı yazısı[1] [2] ilgimi çektiği için sertifikasyon konusunda değişik kaynaklardan derleme yapıp sizlerle paylaşmak istedim.

11.646 tane Kuzey Amerikalı IT Profesyoneli ile yapılan anket sonuçlarına göre aşağıdaki uluslararası sertifikalar dünyanın en prestijli sertifikaları olarak kabul görmekte olup sırasıyla yıllık ortalama maaşlar $125.000 ile $90.000 arasında değişmektedir.

1.CCIE R&S: Cisco Certified Internetwork Expert Routing & Switching (Cisco)

CCIE sertifikası; network endüstrisindeki uzun yıllardan beri en prestijli sertifika olma başarısınıOkumaya devam et

Merhabalar, bu makalede linux yapılarda ether-channel  teknolojisinden nasıl faydalanabileceğimizi basitçe anlatacağım. Linux bir çok uygulamada olduğu gibi network tarafında da oldukça kabiliyetli. Tabi bu kabiliyetten fayda sağlamak için neyin nasıl yapılacağını bilmek gerekiyor.

Günümüzde açık kaynak kodlu işletim sistemlerinin son derece stabil bir halde sunulması işleri çok kolaylaştırdı. Birazcık script bilgisi ile bir linux makinadan bir dedicated  router , firewall veya bir dedicated switch elde etmek mümkün. Normal servislere ilave olarak bu uygulamaları dahil etmek de mümkün.  Biraz CPU veya RAM takviyesi ile arzu edilen verimi fazlası ile veriyor.

Bu makalede kullanacağımızı linux makina CentOS olacaktır. Bu arada yeni çıkan CentOS  7 sürümünün Xen veya KVM hypervisor’ler  ile sanallaştırma işleminde yazılım maliyeti olmadan  mükemmel işler çıkardığını söyleyebilirim.

Senaryomuz sunucu üzerindeki 4 adet 1 Gbps linkten  ether-channel ile 4 Gbps elde etmek şeklinde olacak .

Ether-channel’in neden ve nasıl yapıldığını az çok biliyoruz. Linux’da da  benzer işlemi bond type interface’ler ile yapabiliyoruz ve bu işlemi channel bonding olarak adlandırıyoruz.  Nasıl yapıldığını anlatmaya başlamadan önce ether-channel’in Linux’da kullanım şekillerine teorik olarak çok kısa değinelim.

1-  High Availabity (HA) :

Amaç adı üstünde birden çok linkden maksimum availability elde etmektir. Bonding sayesinde fiziksel arayüzlerin birisinde meydana gelen sorun herhangi bir kesintiye yol açmayacaktır. Trafik bond arayüz’deki diğer fiziksel arayüzlerden akmaya devam edecektir.

Okumaya devam et

Murat KAYAPINAR: Selam.

Sadettin ŞAHİNER: Orhan selam nasılsın ? 

Orhan ERGÜN: Selam SadettinMurat iyiyim sizler ?

Sadettin ŞAHİNER: Teşekkür ederiz.

Murat KAYAPINAR: Öncelikle tebrik ediyoruz.

Orhan ERGÜN: Teşekkürler.

Murat KAYAPINAR: Senin için gurur verici bir şey. Bu başarıyı elde eden ilk ve şuan için tek Türk olman sebebiyle bizde en az senin kadar mutluyuz.

Orhan ERGÜN: Evet gurur verici ancak bir o kadarda yorucu diyelim. 

Murat KAYAPINAR: Sana sormak istediğimiz soruları derledik . Başlayalım ? 

Orhan ERGÜN: Sabırsızlanıyorum. 

Okumaya devam et

IOS ZBF erişim kontrolü/kısıtlaması için kullanılan bir özelliktir. Bildiğimiz en temel kısıtlama yöntemi access-list oluşturup arayüzlere IN/OUT şeklinde uygulamaktır. Ancak ZBF’de bölgeler oluşturulur. Arayüzler bölgelere dahil edilir. Ve bölgeler arası erişim kuralları belirlenerek kısıtlama yapılır. Bu sayede daha detaylı önlemler alınabilir. Profesyonel bir yapılandırma ile bir router’dan bir firewall verimine yakın verim alınabilir. 

Temel kavramlar : 

Security Zone :
Security zone’ler interface veya interface’lerden oluşan mantıksal alanlardır. Default olarak router’in tüm arayüzleri aynı zone’a (self zone) member edilmiştir. Bu sebeple de default olarak herhangi bir kısıtlama yoktur. Ama interface’ler farklı zone’lara üye edildi ise default olarak trafik bir zone’den diğerine geçemez. Bunu sağlamak için zone-pair (+ policy) oluşturulmalıdır.

Zone-Pair :
Zone-pair bir zone’den bir diğerine tek yönlü olarak tanımlanan firewall policy’lerdir. Zone pair sayesinde ACL’ler altında trafik akış yönünü belirtmeye gerek kalmaz. Çünkü burada zaten bir yön vardır. Bu sebeple policy’lerde kurallar sadece protokol ile oluşturulabilir. Çift taraflı akan traik için çift zone-pair tanımlaya da gerek yoktur. Tek zone yeterli olmaktadır. 

Okumaya devam et

MAC Security (MACsec) nedir ve Tasarım yapılırken dikkat edilmesi gereken noktalar nelerdir?

Son zamanlarda network ve sistem güvenliği bir çok kurum/kuruluş için ilk sıralarda yer almaktadır. Ancak bilgi güvenliği dediğimizde bir çok insanın aklına saldırı yöntemleri (penatrasyon testi, zafiyet taraması) ya da internete açık sistemlerin/uygulamaların güvenlikleri gelmektedir. Oysaki birçok bilgi güvenliği otoritesi raporlarına göre hacking (bilgi çalma) saldırılarının büyük kısmı iç networkten yapılmaktadır. DOS, DDOS gibi saldırı yöntemleri kurumları prestij kaybına uğratmaktadır. Fakat bu tür saldırı tiplerinde herhangi bir bilgi çalınması söz konusu değildir. Network ve sistem güvenliğinin alınmaması durumunda ise saldırgan kişi, ilgili kurumunOkumaya devam et