Sophos XG Firewall & Cisco Layer 2 Switch Vlan Yapılandırması

Merhabalar,

Bir önceki makalemde VLAN nedir diye bahsetmiştim bu makalemizde tekrarda değinmeyeceğim. Teknik olarak VLAN hakkında detaylı bilgiye sahip olmak ve diğer makalelerime ulaşmak için aşağıdaki linkte bulunan makaleme göz atmanızda fayda var.

Sophos XG Firewall & Cisco Layer 2 Switch Vlan Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-2-switch-vlan-yapilandirmasi/

Sophos XG Firewall & Cisco Layer 3 Backbone Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-3-backbone-yapilandirmasi/

Sophos XG Firewall, Cisco Layer 3 Backbone & Windows DHCP Server Vlan Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-3-backbone-windows-server-vlan-yapilandirmasi/

Sophos XG Firewall DHCP-Relay Tanımlaması
https://www.firatmeray.com/sophos-xg-firewall-dhcp-relay-tanimlama/

Bu makalemizdeki yapımıza değinecek olursak;

* Vlanları(10,20,30,40,99) Sophos XG Firewall üzerinde sonlandıracağız.
* DHCP Firewall üzerinde olacak. ***Not olarak belirtmem gerekirse DHCP Windows Server üzerinde olacaksa Host(Hyper-V\Vmware) sunucunun bağlı olduğu portu Trunk olarak ve sanal sunucunun ethernet kartını bulunduğu Server Vlana atamalıyız. Ayrıca Sophos XG Firewall üzerinde DHCP-Relay tanımlaması yapmamız gerekmektedir. DHCP-Relay hakkında detaylı bilgiye aşağıdaki makalemden erişebilirsiniz.

https://www.firatmeray.com/sophos-xg-firewall-dhcp-relay-tanimlamasi/

* Switchimiz Cisco Layer 2 Switch üzerinde Management Vlan olacak ve Default Vlanı kapatıp üniteleri Management Vlan üzerinden yönetiyor olacağız.

“Not: Eğer konumlandırdığınız ünite personel sayınızdan bir tık yüksekse ve Full-Feature özeliklerini kullanmıyorsanız bu yapıyı kurmanızda fayda var çünkü yönetiminizi kolaylaştırıyor olacaktır. Eğer çok çalışanlı bir firma iseniz Routing işleminizi Layer-3 Routing özelliğine sahip Switch üzerinde çözmeniz ve DHCP havuzlarını Windows DHCP Server üzerinde açmanızı öneriyorum. Güvenlik Duvarlarının amacı dışarıdan gelecek saldırılara karşı bizi korumak fakat biz bu üniteye hem güvenlik hem vlan-routing hemde DHCP görevlerini yüklersek asıl işlevini yerine getiremiyor CPU/RAM tavan yapıyor olacaktır.”

Konuyu dağıtmadan yapımızı kurmaya geçeçek olursak yapımız aşağıdaki gibi olacak.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall üzerinde VLANlarımızı yaratmak için Configure/Network/Interface/Add interface/Add Vlan diyoruz.

Port4 şuan boşta olduğu için vlanları bu interface üzerinde sonlandıracağız.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Planladığımız yapı gereği aşağıdaki vlanları açıyor olacağız.

vlan 10
name Personel_Vlan
vlan 20
name Server_Vlan
vlan 30
name Ses_Vlan
vlan 40
name Misafir_Vlan
vlan 99
name Management_Vlan

Açacağımız vlanların tanımlanacağı portu(Port4) seçip Vlan ID ve Gateway belirtiyoruz. Bu işlemi tüm Vlan Networkler için uygulamalıyız.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Vlanları yarattıktan sonra Network görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yapımız gereği DHCP Sunucumuz Sophos XG Firewall olacak bunun için Configure/Network/DHCP/Add diyerek yaratmış olduğum VLAN Networkler için DHCP Sunucu tanımlaması yapıyoruz.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

DHCP isteklerinin dağıtılmasını istediğimiz Networklere tanımlamalar yapıktan sonra görüntü aşağıdaki gibi olacaktır.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yarattığımız vlanlar için Network Objeleri açıyoruz.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bütün Vlanları, DHCP Havuzlarını ve Network Objelerini tanımladık. Sıra geldi basic internet çıkışı yazmaya.

Örneğimizde biz kısıtlama ve engelleme olmaksızın internet çıkış kuralı yazıyor olacağız.
PROTECT\Firewall\Add firewall rule

Bu yapıda önerim Guest ve Management Networkler için Firewall Güvenlik Sıkılaştırma kurallarının yazılması gerekmektedir örneğin Guest HTTP/HTTPS ve Mail portlarını kullanarak internete erişebilir diye kural yazdıktan bu kuralın altına Guest ANY To ANY Drop kural yazmalısınız böylelikle Guest Network iç networkümüze erişemiyor olacaktır.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu ve Primary ISP devremizi seçiyoruz.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Layer 2 Switch Vlan Config

hostname Kabinet_SW
no ip http server
no ip http secure-server
no ip domain-lookup
lldp run

spanning-tree mode rapid-pvst

vlan 10
name Personel_Vlan
vlan 20
name Server_Vlan
vlan 30
name Ses_Vlan
vlan 40
name Misafir_Vlan
vlan 99
name Management_Vlan

interface gigabitEthernet 1/0/48
switchport mode trunk
switchport trunk allowed vlan all
description Switch To Firewall
no shutdown

interface gigabitEthernet 1/0/47
switchport mode trunk
switchport trunk allowed vlan all
description Controller Trunk Port
no shutdown

interface range gigabitEthernet 1/0/44-46
switchport mode trunk
switchport trunk allowed vlan all
description AP Trunk Port
no shutdown

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir bilgisayar bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir. Bu süreyi kısaltmak için Portfast komutu uygulamaktayız böylelikle Switch üzerine takılan bir port dinlenmeden ve öğrenilmeden direk up edilir. Client Portlarınıza herhangi bir Switchin takılmayacağından eminseniz Portfast yapmanızda fayda var.

interface range gigabitEthernet 1/0/1-43
switchport mode access
switchport access vlan 10
spanning-tree portfast
description Personel Port

no shutdown

interface FastEthernet0
shutdown

interface vlan 1
no ip address
shutdown

interface vlan 99
ip address 192.168.99.2 255.255.255.0
no shutdown
write

ip default-gateway 192.168.99.1

Ayarlarımızı kaydedip Switchin Access Portuna taktığımızda 10 lu Networkten ip aldığını görebiliriz.

Sophos XG Firewall Vlan , Cisco Layer 2 Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Ekstra Komutlar;

show vlan
show vlan brief
show vlan id 20
show interface vlan 20
show interfaces status
show interfaces summary
show interfaces switchport
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 trunk
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/48 summary
show interfaces gigabitEthernet 1/0/48 status

switchport trunk native vlan 99
switchport trunk allowed vlan all
switchport trunk allowed vlan 10,20,30,99
switchport trunk allowed vlan add 20
switchport trunk allowed vlan remove 30

delete flash:vlan.dat
delete vlan.dat

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist