Sophos XG Firewall BGP Configuration with Web Interface & CLI Commands

Merhabalar,

Bu makalemde Sophos XG Firewall üniteleri arasında BGP yapılandırmasını anlatacağım fakat BGP çalışma mantığını kavrayabilmeniz için genel mimariye temelden giriş yapmamız gerekmektedir. Genel mimari hakkında bilgi sahibi olduktan sonra BGP yapılandırmasına Step by Step giriş yapacağız.

***Not: Dynamic Routing Protokollere tek bir makalede değinerek kafanızı karıştırmayacağım. Her protokolü ayrı bir makale içerisinde, otonom sistemler ile birlikte detaylı ele alacağım. Böylelikle yapacağım uygulamalarda Dynamic Protokoleri adım adım sizlere aktarıyor olacağım.

Bir önceki Dynamic Area makalelerime göz atmak için aşağıdaki linkleri kullanabilirsiniz;

Sophos XG Firewall RIP Configuration with Web Interface & CLI Commands
https://www.firatmeray.com/sophos-xg-firewall-rip-configuration-with-web-interface-cli-commands/

Sophos XG Firewall OSPF Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-ospf-yapilandirmasi/

Sophos XG Firewall OSPF over GRE Tunnel
https://www.firatmeray.com/sophos-xg-firewall-ospf-over-gre-tunnel/

Sophos XG Firewall GRE Tunnel over IPsec with OSPF
https://www.firatmeray.com/sophos-xg-firewall-gretunnel-over-ipsec-with-ospf/

Bildiğiniz üzere Routerlar üzerinde farklı networkleri konuşturmak için Statik yönlendirmeler(Static Routing) yazmaktayız fakat İleride Networkümüzün büyüyeceğini varsayarsak Statik rotalar yazmamız işimizi karmaşık bir hale sokacaktır. Bu yüzden Dynamic Routing protokollerini kullanmaktayız.

Dynamic Routing Protokolleride kendi içerisinde ikiye ayrılır. Bunlar Interior Gateway Protocol(IGP) ve Exterior Gateway(EGP)

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Interior Gateway Protocol(IGP): Veri paketleri aynı otonom sistem içerisinde aktarılacaksa Interior Gateway Protocols(IGP) kullanılır. IGP kullanan ağlar arasındaki iletişimin gerçekleşmesi için her iki ağın da aynı otonom sisteme ait olması gerekmektedir. Bu gruptaki otonom sistemleri Intra-AS(Autonomous System) olarak tanımlamaktayız.

Exterior Gateway(EGP): Veri paketlerini farklı Otonom Sistemler(AS) arasında aktarmak için kullanılır. Routerlar cihazların hangi otonom sisteme ait olduklarını o Networke atanan otonom sistem numarasından tanımlar. Farklı otonom sistemlerinin birleşimlerini Inter-AS(Autonomous System) olarak tanımlamaktayız.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Peki Otonom Sistem/Autonomous System(AS) Nedir?

Otonom Sistem kavramını aslında Internet Servis Sağlayıcılarının(ISP) kullanmış olduğu IP Network havuzları oluşturur. Otonom sistemlerde amaç IP ağlarının coğrafi konumlarına göre gruplara paylaşılması/bölünmesi ile IP ağlarının yönetimini kolaylaştırılması ve sınırların çizilmesi amacıyla kullanılır.

2007 yılına kadar tüm otonom sistem numaraları(ASN) 2-Byte 16 bit olarak ifade edilmekteydi. IPv4 adresleri gibi otonom sistem numaralarınında tükeneceğinden dolayı Internet Engineering Task Force (IETF) tarafından 4-Byte 32 bit destekli sistemlere geçilmesi önerildi.

2007 itibariyle 2-Byte ve 4-Byte‘lık bir ASN arasında bir ayrım yoktur ve tüm ASN‘ler 4-Byte 32 bit olarak kabul edilmektedir..

2-Byte 16 bit destekli otonom sistemler ile 65535 arasında değerler almaktaydı ve 64512 – 64534 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

4-Byte 32bit destekli sistemler ise ile 4294967295 arası değerler almaktadır. 4200000000 – 42949672 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

Eğer otonom sistemin başka bir otonom sisteme veya internete bağlanması gerekiyorsa Border Gateway Protocol‘ün manuel yapılandırılması gerekmektedir.

Autonomous System(AS) numaraları Internet Assigned Numbers Authority(IANA) tarafından Regional Internet Registries(RIRs) kuruluşlarına atanmaktadır. Yani bağlı bulunduğunuz bölgedeki ARIN, RIPE, Lacnic, AFRINIC ve APNIC gibi kuruluşlardan satın alınabilirler.

Türkiyede bulunan otonom sistem numalarına ve ip adreslerine aşağıdaki link yardımıyla ulaşabilirsiniz;
https://bgp.he.net/country/TR

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bölgesel İnternet Kayıt Merkezi (Regional Internet registry(RIR))

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmimize bakacak olursak Türkiye RIPE NCC bölgesine aittir. Kullanmış olduğum Static Public IP adresini sorguladığımda Türk Telekoma ait olduğunu görmekteyiz.

https://apps.db.ripe.net/db-web-ui/query?searchtext=

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmi incelediğimizde 78.188.0.0/17 bloğunun Türk Telekomun AS9121 otonom numarasına sahip Backbone Omurgasının arkasında olduğunu görebiliriz. Yani Türk Telekom Ripe‘den aldığı 78.188.0.0/17Subnetini anons etmektedir.

https://bgp.he.net

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 otonom sisteminin hangi otonom sistemlere bağlantısının olduğunu ve durumunu aşağıdaki linkte kontol edebilirsiniz.

https://bgp.he.net/AS9121

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bildiğiniz üzere Türkiye‘nin direkt olarak Telecom Italia Sparkle – MedNautilus – Mediterranean Backbone hattına bağlantısı bulunmaktadır. Ayrıca Türkiyenin Mediterranean Backbone bağlantısı üzerinden dolaylı olarak European Backbone bağlantısıda bulunmaktadır.

***Not: STI(Sparkle Telecom Italia), Telecom Italia S.p.A iştiraki bir firmadır. Dünya çapında önde gelen bir küresel telekomünikasyon hizmeti sağlayıcısı olan Sparkle Telecom Italia, 2003 yılında kurulmuş. Firmanın faaliyet alanı özellikle AvrupaAkdeniz ve Latin Amerika bölgeleridir.

Türkiye’nin de bulunduğu İnternet omurgası, önemli backbone noktaları ve deniz altından geçen fiber optik kabloları gösteren haritalara aşağıdaki linklerden ulaşabilirsiniz

https://www.tisparkle.com/our-assets/global-backbone

https://www.submarinecablemap.com/

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 Peerlarına bakacak olursak, AS9121 omurgasının Exchange Peerlar ile 100G bağlantısının olduğunu görebiliriz.

https://www.peeringdb.com/net/1367

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yeri gelmişken POP Location, TNAP ve VA kavramlarına değinmemizde fayda var;

Bildiğiniz üzere Internet Servis sağlayıcıları Metro Ethernet olmayan kurumunuza Fiber bağlantıyı en yakın POP (Point of Presence) noktasından çekmektedir. POP noktası VoIP teknolojisini kullanan internet operatörlerinin internet omurgasına doğrudan erişim sağladıkları ana erişim noktalarıdır.

Evlerinizde veya işyerlerinde telefon kablosu olduğu için Telekom DSL aktarmasını bina dışı kutunuzdan, sokak başındaki aktarma noktasına, oradan da en yakın santrale yapmaktadır. Detaylı bilgi için bir eski makalelerimeme göz atmanızda fayda var.

xDSL (Digital Subscriber Line) Teknolojisi Nedir?
https://www.firatmeray.com/xdsl-digital-subscriber-line-teknolojisi-nedir/

xDSL Hattınız için En Uygun MTU Değerini Bulma/Hesaplama
https://www.firatmeray.com/xdsl-hattinizin-en-uygun-mtu-degerini-bulma/

TNAP(Türkiye Network Altyapı Platformu) ise internet servis sağlayıcılarının kendi aralarındaki internet trafiğini yedekli ve aynı zamanda güvenli bir yol üzerinden taşıyarak kaliteyi arttırmak ve erişim sürelerini aza indirgemek hedefiyle Borusan TelekomDsmartGlobal İletişimGrid TelekomKoç.netSuperonline ve TurkNet gibi Türkiye’nin önde gelen 7 ISS’i tarafından kurulmuş olan bir oluşum. Kullanıcıların internet trafiği hızını, güvenliğini ve kalitesini arttıran bu platform özellikle Türkiye’deki internet trafiği yükünün paylaşılmasında önemli bir çözüm rolü üstleniyor

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VAE yani Veri Akışı Erişimi kelimesinin kısaltmasıdır. İnternet Servis Sağlayıcısı, yerleşik operatör ile Veri Akışı Erişimi (VAE) anlaşması gerçekleştirerek müşterilerini yeni bir erişim yöntemiyle internet hizmeti sağlamasıdır. Eğer bir İnternet servis sağlayıcı, bir bölgede kendi altyapısına sahip değilse başka bir operatörün altyapısını (Örn. Turk Telekom) kullanarak hizmet satar. Altyapıya sahip olan şirket, diğer ISS’ye Veri Akışı Erişimi sağlamış olur.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

*** Peki genel bilgilendirme sonrası asıl konumuza dönecek olursak;

BGP Nedir?

BGP(Border Gateway Protocol) yani Türkçe karşılığıyla Sınır Geçit Protokolü farklı Otonom Sistemler(AS) sistemler arasında yönlendirmeye imkanı sağlayan bir Exterior Gateway(EGP) protokolüdür.

Exterior Gateway(EGP): Veri paketlerini farklı Otonom Sistemler(AS) arasında aktarmak için kullanılır. Routerlar cihazların hangi otonom sisteme ait olduklarını o Networke atanan otonom sistem numarasından tanımlar. Farklı otonom sistemlerinin birleşimlerini Inter-AS(Autonomous System) olarak tanımlamaktayız.

Önceden genellikle ISP Networklerinde kullanılan BGP artık günümüzde Enterprise Networklerdede aktif şekilde kullanıldığını görmekteyiz..

Path Vector Routing protokolü olan BGP diğer üniteler arasında iletişim(neighborhood,update etc) kurmak için 179 TCP portunu kullanmaktadır. Yani BGP bir TCP Protokolüdür. OSPF gibi kendisine ait bir protokol numarası bulunmamaktadır.

BGP çalışma mantığı olarak en kısa yola göre değil en iyi rotaya göre hareket etmektedir. Örneğin A yolundan B yoluna doğru giderken geçilecek rotalarda herhangi bir kısıtlama olabilir. Yani veri paketlerinin bu otonom sistemler üzerinden geçişi engellenmiş olabilir. Burada BGP çalışma mantığı olarak alternatif bir yol ile rotaya doğru ulaşıyor olacaktır.

BGP kendi içerisine IGBP ve EBGP olarak ikiye ayrılmaktadır;

IBGP; Eğer aynı otonom sistem içerisinde iki cihaz BGP komşuluk ilişkisi kuruyorsa bu bir IBGP (Interior Border Gateway Protocol) komşuluğudur.

EBGP; Eğer farklı otonom sistemler arasında bir otonom sistem komuşuluğu kuruluyorsa buda EBGP (Exterior Border Gateway Protocol) komşuluğudur.

BGP olarak yapılandırılan ünite koşuluk ilişkisi kurabilmek için her 60 saniyede bir 19 byte uzunluğunda bir neighborhood paketi gönderir. Sophos XG Firewall CLI üzerinden geçen bu paketleri izlemek için tcpdump ‘port 179’ komutunu kullanabilirsiniz.

CLI\5. Device Management\3. Advanced Shell
tcpdump ‘port 179’

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
show ip bgp neighbors

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel bilgilendirme sonrası şağıdaki şemamıza bakacak olursak;

Sophos XG Firewall ünitelerimiz arasında BGP Zone yaratılarak komşuluk ilişkisi kurulmak isteniliyor.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 Configuration

Öncelikle en doğru yapılandırma olarak BGP alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta BGP komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi BGP tarafına bakacak Interface arayüzlerine ip atamaya. Yapımız gereği Port 4: AS64200 Otonom Sistemine, Port 3: AS64100 Otonom Sistemine bakacak şekilde yapılandıracağız.

Port4‘e ip atamak için portun üzerine tıklayıp içerisine giriş yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Öncelikle Network Zone alanından oluşturmuş olduğumuz alanı(BGP_Zone) seçiyoruz.

AS64200 için Port 4’ü 20.20.20.10 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi AS64100 tarafına bakacak interface arayüzümüzü yapılandırmaya.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 için Port 3’ü 10.10.10.10 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız IP tanımlama ayarlarından sonra Interfaces görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Network ayarlarımızı tanımladıktan sonra sıra geldi BGP Otonom Sistem ayarlarımı yapmaya;

Router ID 30.30.30.10 olarak belirleyip Local AS alanımı 64300 olarak tanımlıyorum.

Neighbor Alanıma komşu cihazlarımın BGP tarafına bakan Interface IP Adreslerini ve bağlı bulunduğu Otonom Sistem Numarasını yazıyoruz.

Neighbor: 10.10.10.20 Remote AS:64100
Neighbor: 20.20.20.20 Remote AS:64200

Networks alanıma ise diğer otonom sistemlerle bağlantılı olduğum Networkleri tanımlıyorum.

Network: 10.10.10.0 Netmask: 255.255.255.0
Network: 20.20.20.0 Netmask: 255.255.255.0

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yada CLI üzerinden BGP yapılandırmak için aşağıdaki komutları kullanabilirsiniz.;

++ AS64300 CLI Config ++
enable
configure terminal
hostname AS64300
bgp config-type cisco
router bgp 64300
bgp router-id 30.30.30.10
network 10.10.10.0/24
network 20.20.20.0/24
neighbor 10.10.10.20 remote-as 64100
neighbor 20.20.20.20 remote-as 64200
write
end

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

BGP ayarlarımızı yaptıktan sonra AS64100 & AS64200 Otonom Sistemlerinin AS64300 üzerinden konuşabilmesi için AS64300 ünitesi üzerinden ANY erişim izni veriyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların BGP üzerinden komşuluk ilişkisi kurulabilmesi için BGP_Zone alanına Dynamic RoutingSSHPing ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 Configuration

AS64300 Otonom Sistemimizde yaptığımız gibi öncelikle BGP alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta BGP komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi BGP tarafına bakacak Interface arayüzüne ip atamaya. Yapımız gereği Port 8: AS64300 Otonom Sistemine bakacak şekilde yapılandıracağız.

Port8‘e ip atamak için portun üzerine tıklayıp içerisine giriş yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Öncelikle Network Zone alanından oluşturmuş olduğumuz alanı(BGP_Zone) seçiyoruz.

AS64300 için Port 4’ü 10.10.10.20 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız IP tanımlama ayarlarından sonra Interfaces görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Network ayarlarımızı tanımladıktan sonra sıra geldi BGP Otonom Sistem ayarlarımı yapmaya;

Router ID 10.10.10.20 olarak belirleyip Local AS alanımı 64100 olarak tanımlıyorum.

Neighbor Alanıma komşu cihazımın BGP tarafına bakan Interface IP Adresini ve bağlı bulunduğu Otonom Sistem Numarasını yazıyoruz.

Neighbor: 10.10.10.10 Remote AS:64300

Networks alanıma ise AS64100 üzerinde bulunan Local Networkümü tanımlıyorum. Tanımlamış olduğum bu Network ile diğer Otonom Sistemlerin arkasında bulunan Networkleri konuşturacağım

Network: 192.168.10.0 Netmask: 255.255.255.0

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yada CLI üzerinden BGP yapılandırmak için aşağıdaki komutları kullanabilirsiniz.;

++ AS64100 CLI Config ++
enable
configure terminal
hostname AS64100
bgp config-type cisco
router bgp 64100
bgp router-id 10.10.10.20
network 192.168.10.0/24
neighbor 10.10.10.10 remote-as 64300
write
end

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

BGP ayarlarımızı yaptıktan sonra BGP alanımızdan 192.168.10.0/24 Networküne gelecek paket erişimlerini açıyoruz.

BGP_Zone To Local

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Local To BGP_Zone

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların BGP üzerinden komşuluk ilişkisi kurulabilmesi için BGP_Zone alanına Dynamic RoutingSSHPing ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200 Configuration

AS64100 ve AS64300 Otonom Sistemimizde yaptığımız gibi öncelikle BGP alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta BGP komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi BGP tarafına bakacak Interface arayüzüne ip atamaya. Yapımız gereği Port 8: AS64300 Otonom Sistemine bakacak şekilde yapılandıracağız.

Port8‘e ip atamak için portun üzerine tıklayıp içerisine giriş yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Öncelikle Network Zone alanından oluşturmuş olduğumuz alanı(BGP_Zone) seçiyoruz.

AS64300 için Port 4’ü 20.20.20.20 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız IP tanımlama ayarlarından sonra Interfaces görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Network ayarlarımızı tanımladıktan sonra sıra geldi BGP Otonom Sistem ayarlarımı yapmaya;

Router ID 20.20.20..20 olarak belirleyip Local AS alanımı 64200 olarak tanımlıyorum.

Neighbor Alanıma komşu cihazımın BGP tarafına bakan Interface IP Adresini ve bağlı bulunduğu Otonom Sistem Numarasını yazıyoruz.

Neighbor: 20.20.20.10 Remote AS:64300

Networks alanıma ise AS64100 üzerinde bulunan Local Networkümü tanımlıyorum. Tanımlamış olduğum bu Network ile diğer Otonom Sistemlerin arkasında bulunan Networkleri konuşturacağım

Network: 192.168.20.0 Netmask: 255.255.255.0

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yada CLI üzerinden BGP yapılandırmak için aşağıdaki komutları kullanabilirsiniz.;

++ AS64200 CLI Config ++
enable
configure terminal
hostname AS64200
bgp config-type cisco
router bgp 64200
bgp router-id 20.20.20.20
network 192.168.20.0/24
neighbor 20.20.20.10 remote-as 64300
write
end

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

BGP ayarlarımızı yaptıktan sonra BGP alanımızdan 192.168.20.0/24 Networküne gelecek paket erişimlerini açıyoruz.

BGP_Zone To Local

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Local To BGP_Zone

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların BGP üzerinden komşuluk ilişkisi kurulabilmesi için BGP_Zone alanına Dynamic RoutingSSHPing ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

#### BGP CLI Test #####

| AS64300 Outputs |

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
show ip bgp summary
show ip bgp neighbors
show ip bgp scan detail

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
enable
configure terminal
show running-config
show startup-config

Autonomous Systems PING Test

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 ISP: show ip bgp summary

A screenshot of a cell phoneDescription automatically generatedSophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 ISP: show ip bgp neighbors

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 ISP: show ip bgp scan detail

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 ISP: show running-config

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64300 ISP: Packet Capture

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

| AS64100 Outputs |

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
show ip bgp summary
show ip bgp neighbors
show ip bgp scan detail

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
enable
configure terminal
show running-config
show startup-config

AS64100 ISP: show ip bgp summary

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 ISP: show ip bgp neighbors

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 ISP: show ip bgp scan detail

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 ISP: show running-config

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100 arkasında bulunan bir bilgisayardan PING + Tracert Test sonucu

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64100: Packet Capture

tcpdump ‘proto ICMP’
tcpdump -nei any host 192.168.10.7

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

| AS64200 Outputs |

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
show ip bgp summary
show ip bgp neighbors
show ip bgp scan detail

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
enable
configure terminal
show running-config
show startup-config

AS64200 ISP: show ip bgp summary

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200 ISP: show ip bgp neighbors

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200 ISP: show ip bgp scan detail

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200 ISP: show running-config

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200 arkasında bulunan bir bilgisayardan PING + Tracert Test sonucu

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS64200: Packet Capture

tcpdump ‘proto ICMP’
tcpdump -nei any host 192.168.20.7

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Config Özet

#### Advanced Dump Commands ####

CLI\5. Device Management\3. Advanced Shell
tcpdump ‘proto ICMP’
tcpdump ‘port 179’
tcpdump -nei any host 192.168.10.7

#### OSPF Show Commands ####

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
show ip bgp summary
show ip bgp neighbors
show ip bgp neighbors 10.10.10.20
show ip bgp scan detail
show ip bgp paths

CLI\3.Route Configuration\1.Configure Unicast Routing\3.Configure BGP
enable
configure terminal
show running-config
show startup-config

#### OSPF CLI Configuration ####

++ AS64100 CLI Config ++
enable
configure terminal
hostname AS64100
bgp config-type cisco
router bgp 64100
bgp router-id 10.10.10.20
network 192.168.10.0/24
neighbor 10.10.10.10 remote-as 64300
write
end

++ AS64200 CLI Config ++
enable
configure terminal
hostname AS64200
bgp config-type cisco
router bgp 64200
bgp router-id 20.20.20.20
network 192.168.20.0/24
neighbor 20.20.20.10 remote-as 64300
write
end

++ AS64300 CLI Config ++
enable
configure terminal
hostname AS64300
bgp config-type cisco
router bgp 64300
bgp router-id 30.30.30.10
network 10.10.10.0/24
network 20.20.20.0/24
neighbor 10.10.10.20 remote-as 64100
neighbor 20.20.20.20 remote-as 64200
write
end

++ Delete Config ++
enable
configure terminal
router bgp 64100
no 192.168.10.0/24

Referanslar;
https://community.sophos.com/kb/en-us/132891
https://bilgiguvenligi.saglik.gov.tr/Haberler/Detay/54/gerceklesen-en-buyuk-ddos-saldirisi-ve-memcahce-zafiyeti
https://radore.com/blog/radore-tnap-ve-stiseabone-omurgalarina-baglandi.html
https://fullnet.com.tr/faq-items/vae-nedir/

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist