Network Altyapıları’nda Temel Güvenlik ve İş Sürekliliği Tedbirleri – Bölüm 2
Makalemizin 1. Bölümü’nde Port Güvenliği ile detaylar paylaşılmış ve örnek bir senaryo üzerinde pratik yapılmıştır.
Bu bölümde de Network Altyapıları’na İş Sürekliliği için entegre edebileceğimiz basit, t anında çok fayda sağlayabilecek bir özelliğe değineceğiz. BT Altyapıları’nın 7/24 esasında hizmet verebilmesi, beklenmedik bir hizmet kesintisinde minimum sürelerde geri dönüş sağlanabilmesi için İlave Destek Paketleri, Yedek Donanımlar vb. alanlara yatırımlar yapılmaktadır. Ancak bazı durumlarda bu gibi tedbirler de yeterli olmamakla beraber ekstra aksiyonlar alınması gerekmektedir. Örneğin; Network Altyapısı’nda kritik bir noktada konumlandırılmış bir L2 / L3 Switch’in donanımsal olarak yedeklenmesi ya da üretici firma ile Donanım Destek Anlaşması yapılması tam manasıyla süreklilik sağlamayabilir. Çünkü örneğimizdeki Yönetilebilir Cihazlar sınıfına giren donanım, üzerindeki konfigürasyona göre hizmet vermektedir. Birçok kurum ve kuruluş, bu tip cihazları varsayılan konfigürasyon ile kullanmamakta ve altyapılarına uygun değişiklikleri uygulamaktadır. Eğer bu konfigürasyon dosyası, yedeklenmemiş veya ulaşılabilir durumda değil ise yapılacak donanımsal değişim tam olarak sorunumuzu çözemeyecektir. Bahsettiğimiz bu durumdan etkilenmemek için bir takım tedbirler alınması İş Sürekliliği tarafında yüksek önem arz etmektedir.
Senaryomuza göre bir Sunucu üzerinde TFTP ( Trivial Transfer File Protocol ) Servisini aktif duruma getireceğiz ve Switch’ler üzerinde bulunan konfigürasyonları bazı komutlar kullanmak suretiyle yedekleyeceğiz ve geri yükleyeceğiz. Aşağıdaki gibi bir Sunucu ve Network Altyapımız var, 192.168.10.3 IP Adresi’ne sahip Dosya Sunucusu üzerinde TFTP Servisini devreye alıyoruz.
Söz konusu Servis, aktif duruma getirildiğinde aşağıdaki gibi görünmekte ve varsayılan olarak bazı cihazlara ait konfigürasyon dosyalarının bulunduğu görülmektedir. Dilerseniz varsayılan olarak gelen bu yedekleri “ Remove File “ ile silebilirsiniz. ( Alınan aksiyonları daha net gösterebilmek adına ilgili yedekler silinmiştir. )
Bu işlemi takiben yedeklemek istediğimiz Switch’te aşağıdaki komutları uygulayalım.
Görüldüğü üzere konfigürasyon içeriğimiz belirtilen hedefe kopyalanmıştır. Burada yapmış olduğumuz işlem “ copy running-config tftp: “ komutu sonrasında TFTP Servisinin koştuğunu Sunucu’nun IP Adresini ve Yedek Dosyası’nın adını belirtmektir. Son olarak Sunucu tarafında da kontrollerimizi yapalım ve dosyanın yedeklendiğini doğrulayalım.
Yaptığımız kontrollerde konfigürasyon dosyasının belirtmiş olduğumuz isim ile yedeklendiği görülmektedir.
Donanımsal bir sorun nedeniyle mevcut L3 Switch ( Admin-1 ) hizmet dışı kalıyor ve yerine aynı marka-model bir Switch ( Multilayer Switch0 ) konumlandırıyoruz.
Yeni Switch, varsayılan konfigürasyon ile geldiği için fiziksel bağlantılar yapılmış olmasına rağmen Network Altyapısı olması gerektiği gibi hizmet verememektedir. Örneğin; WH isimli Switch üzerinden hizmet veren PC6 isimli Client, DHCP Sunucusu’na erişememektedir.
Network Altyapısını ayağa kaldırmak için almamız gereken aksiyon, yeni konumlandırdığımız L3 Switch’in TFTP Servisini veren Sunucu’ya erişmesini sağlamaktır.
Bu bağlamda;
Sunucu’nun bağlı olduğu fiziksel port, ilgili VLAN’a alınmalı ve L3 Switch üzerinde Sanal Interface oluşturulmalıdır. Sırası ile bu işlemleri yapalım ve cihazımızı yedekten dönmeye hazır duruma getirelim.
Şimdi de Switch ile Sunucu arasındaki iletişimi test edelim.
Ping işleminin başarılı olarak geri dönüş yaptığı görülmektedir.
Yedekten dönmeden önce yeni Switch’in üzerindeki konfigürasyon detaylarını ve portların durumunu paylaşmak istiyorum. 3. Port hariç tüm Portlar VLAN 1 üyesi olarak görünmektedir.
Bu işlemi takiben yedekten dönmek için ilgili komutu çalıştıralım ve talep edilen detayları sağlayalım.
Görüldüğü üzere konfigürasyon içeriğimiz belirtilen hedeften kopyalanmıştır. Burada yapmış olduğumuz işlem “ copy tftp: running-config “ komutu sonrasında TFTP Servisi’nin koştuğunu Sunucu’nun IP Adresini, Yedek Dosyası’nın adını belirtmek ve Destination filename sorusunu Enter ile onaylamaktır.
Yedekten döndüğümüze göre Network Altyapısı’nda bazı kontroller yapabiliriz. Öncelikle yeni Switch’in adı, konfigürasyon içeriğine göre “ admin-sw1 “ olarak değişmiştir.
Ayrıca VLAN, Port, IP Adresi gibi detayların konfigürasyon içeriğine göre geldiği ve tüm noktalarda erişimin sorunsuz olduğu gözlemlenmiştir.
Faydalı olması dileklerimle.
Eline sağlık.
Teşekkür ederim Hakan Bey.