Sophos XG Firewall, Cisco Layer 3 Backbone & Windows DHCP Server Vlan Yapılandırması

Merhabalar,

Bir önceki makalelerimde VLAN ve DHCP-Relay yapılandırmasının ne olduğundan bahsetmiştim bu makalemizde tekrardan değinmeyeceğim. Teknik olarak VLAN ve DHCP-Relay hakkında detaylı bilgiye ulaşmak için bir önceki makalelerime göz atmanızda fayda var.

VLAN Nedir & Nasıl Yapılandırılır?
https://firatmeray.com/vlan-nedir/

Sophos XG Firewall & Cisco Layer 2 Switch Vlan Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-2-switch-vlan-yapilandirmasi/

Sophos XG Firewall & Cisco Layer 3 Backbone Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-3-backbone-yapilandirmasi/

Sophos XG Firewall DHCP-Relay Tanımlaması
https://www.firatmeray.com/sophos-xg-firewall-dhcp-relay-tanimlamasi/

Bu makalemizdeki yapımıza değinecek olursak;

* Vlanları(10,20,30,40,99) Cisco Layer-3 Backbone üzerinde sonlandıracağız.
L3 Yapımız gereği DHCP, Windows Server üzerinde olacak bu yüzden Host(Hyper-V\Vmware) sunucunun bağlı olduğu portu Trunk olarak ve sanal sunucunun ethernet kartını bulunduğu Server Vlana atamalıyız.
* Switch üzerinde ip helper-address(DHCP-Relay) istekleri için Windows DHCP Sunucusunun ip adresini yazmalısınız.
* Switchimiz Cisco Layer 3 üzerinde Management Vlan olacak ve Default Vlanı kapatıp üniteleri Management Vlan üzerinden yönetiyor olacağız.

Firewall to Switch Atlama Network: 172.16.0.0/30 = 255.255.255.252
Firewall IP: 172.16.0.1/30 | 255.255.255.252
Switch IP  : 172.16.0.2/30 | 255.255.255.252
Management Network: 192.168.99.0/24 = 255.255.255.0
Windows DHCP Server: 192.168.20.10

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

İlk iş olarak Firewall ile Switch arasında konuşacak interface arayüzlerine ip atayalım bunun için;

Configure\Network\Interfaces\Port4’ü seçip içerisine giriş yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Switch 172.16.0.2 olacağı için Sophos XG Firewall IP adremizi 172.16.0.1 olarak tanımlayıp yaptığımız ayarları kaydediyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Switch ile Firewall atlama portlarına 1000 mbps Full Duplex olarak tanımlayıp yaptığımız ayarları kaydediyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Vlanlarımız Layer-3 Backbone üzerinde olduğu için Firewalla bu Networklerin nerede olduğu tanıtmak için ilgili Vlanlara doğru Route yazıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

192.168.10.0/24 Networküne giderken 172.16.0.2’yi kulan diyoruz. Bütün Vlan-Networkleri(10,20,30,40,99) için bu ayarı yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kurallarımızı yazabilmek için Vlanlar için Network objelerimi hazır hale getiriyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bütün gerekli ayarları tanımladık. Sıra geldi Basic internet çıkışı yazmaya.

Örneğimizde kısıtlama ve engelleme olmaksızın internet çıkış kuralı yazıyor olacağız.

Bu yapıda önerim Guest ve Management Networkler için Firewall Güvenlik Sıkılaştırma kurallarının yazılması gerekmektedir örneğin Guest HTTP/HTTPS ve Mail portlarını kullanarak internete erişebilir diye kural yazdıktan sonra bu kuralın altına Guest ANY To ANY Drop kural yazmalısınız böylelikle Guest Network iç networkümüze erişemiyor olacaktır.Lan To Lan Rule

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Lan To Wan Rule

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu seçiyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

DHCP Windows Server üzerinde olacağı için ilgili interface altına ip helper-address 192.168.20.10 tanımlaması yapıyoruz. Böylelikle Switch Clientlerden gelen DHCP-Assigment taleplerine karşılık verebilmek için Relay edilen sunucuya(192.168.20.10) dhcp istek paketlerini soracaktır.

Layer 3 Backbone Config
Firewall to Switch Atlama Network: 172.16.0.0/30 = 255.255.255.252
Firewall IP: 172.16.0.1/30 | 255.255.255.252
Switch IP  : 172.16.0.2/30 | 255.255.255.252
Management Network: 192.168.99.0/24 = 255.255.255.0

hostname Backbone_SW
no ip domain-lookup
no ip http server
no ip http secure-server
lldp run
service dhcp
ip routing

spanning-tree mode rapid-pvst

service password-encryption
enable secret password
username sshadmin privilege 15 secret password
aaa new-model
aaa authentication login default local-case
aaa local authentication attempts max-fail 5
ip domain-name aktuelsistem.com
crypto key generate rsa
ip ssh version 2
ip ssh time-out 30
ip ssh logging events
ip ssh maxstartups 10
ip ssh authentication-retries 5

line vty 0 4
transport input ssh
access-class ACL-SSH in
exec-timeout 15

ip access-list standard ACL-SSH
permit 192.168.99.0 0.0.0.255 log
deny any

vlan 10
name Personel_Vlan
vlan 20
name Server_Vlan
vlan 30
name Ses_Vlan
vlan 40
name Misafir_Vlan
vlan 99

name Management_Vlan
interface gigabitEthernet 1/0/48
switchport mode trunk
switchport trunk allowed vlan all
description Switch To Firewall
speed 1000
duplex full
no shutdown

interface gigabitEthernet 1/0/47
switchport mode trunk
switchport trunk allowed vlan all
description VMware -Host
no shutdown

interface gigabitEthernet 1/0/46
switchport mode trunk
switchport trunk allowed vlan all
description Controller Trunk Port
no shutdown

interface range gigabitEthernet 1/0/44-45
switchport mode trunk
switchport trunk allowed vlan all
description AP Trunk Port
no shutdown

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir cihaz bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir. Bu süreyi kısaltmak için Portfast komutu uygulamaktayız böylelikle Switch üzerine takılan bir port dinlenmeden ve öğrenilmeden direk up edilir. Client Portlarınıza herhangi bir Switchin takılmayacağından eminseniz Portfast yapmanızda fayda var.

interface range gigabitEthernet 1/0/1-43
switchport mode access
switchport access vlan 10
spanning-tree portfast
description Personel Port

no shutdown

interface FastEthernet0
shutdown

interface vlan 1
ip address 172.16.0.2 255.255.255.252
no shutdown

interface vlan 99
ip address 192.168.99.1 255.255.255.0
no shutdown

interface vlan 10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.20.10
no shutdown

interface vlan 20
ip address 192.168.20.1 255.255.255.0
no shutdown

interface vlan 30
ip address 192.168.30.1 255.255.255.0
ip helper-address 192.168.20.10
no shutdown

interface vlan 40
ip address 192.168.40.1 255.255.254.0
ip helper-address 192.168.20.10
no shutdown

ip route 0.0.0.0 0.0.0.0 172.16.0.1

show running-config yaparak Switch üzerindeki ayarlarımızın doğruluğunu kontrol ediyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Firewall ve Switch üzerinde ayarlarımızı teyit ettikten sonra sıra geldi VMware ve Windows DHCP Server ayarlarının yapılmasına.

Sunucu Networkümüz için VMware Host üzerinde Virtual Network ayarlarımızı yaptıktan sonra Network Adapter kısmından Sunucumuzu ilgili VlanGrubuna dahil ediyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sanal sunucumuza Vlan ataması yaptıktan sonra Vlan-Networklerimiz için DHCP-Scope tanımlamalarımızı yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız bütün ayarlardan sonra sıra geldi Vlanlarımızın çalışıp çalışmadığını test etmeye;

Switch ICMP Test;

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Firewall ICMP Test;

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Windos DHCP Server Test;

Sophos XG Firewall, Cisco Layer 3 Backbone,Windows DHCP Server Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Usefull Show Commands

show vlan
show vlan brief
show vlan id 20
show interface vlan 20
show interfaces status
show interfaces summary
show interfaces switchport
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 trunk
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/48 summary
show interfaces gigabitEthernet 1/0/48 status

switchport trunk native vlan 99
switchport trunk allowed vlan all
switchport trunk allowed vlan 10,20,30,99
switchport trunk allowed vlan add 20
switchport trunk allowed vlan remove 30

delete flash:vlan.dat
delete vlan.dat

write erase
erase startup-config

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist