Sophos XG Firewall & Cisco Layer 3 Backbone Yapılandırması

Merhabalar,

Bir önceki makalemde VLAN nedir diye bahsetmiştim bu makalemizde tekrarda değinmeyeceğim. Teknik olarak VLAN hakkında detaylı bilgiye sahip olmak ve diğer makalelerime ulaşmak için aşağıdaki linkte bulunan makaleme göz atmanızda fayda var.

VLAN Nedir & Nasıl Yapılandırılır?
https://firatmeray.com/vlan-nedir/

Sophos XG Firewall & Cisco Layer 2 Switch Vlan Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-2-switch-vlan-yapilandirmasi/

Sophos XG Firewall, Cisco Layer 3 Backbone & Windows DHCP Server Vlan Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-3-backbone-windows-server-vlan-yapilandirmasi/

Sophos XG Firewall DHCP-Relay Tanımlaması
https://www.firatmeray.com/sophos-xg-firewall-dhcp-relay-tanimlama/

Bu makalemizdeki yapımıza değinecek olursak;

* Vlanları(10,20,30,40,99) Cisco Layer-3 Backbone üzerinde sonlandıracağız.
L3 Yapımız gereği DHCP Firewall üzerinde olacak. DHCP Windows Server üzerinde olacaksa Host(Hyper-V\Vmware) sunucunun bağlı olduğu portu Trunk olarak ve sanal sunucunun ethernet kartını bulunduğu Server Vlana atamalıyız. Ayrıca Switch üzerinde ip helper-address istekleri için Windows DHCP Sunucusunun ip adresini yazmalısınız. Detaylı bilgiye ve yapılandırmaya aşağıdaki linkten ulaşabilirsiniz.

https://www.firatmeray.com/sophos-xg-firewall-cisco-layer-3-backbone-windows-server-vlan-yapilandirmasi/

* Cisco Switchleri Management Vlan üzerinden yönetiyor olacağız. Firewall ve Backbone Switch atlama portu Default PVID 1 olarak konuşuyor olacak.

Firewall to Switch Atlama Network: 172.16.0.0/29
Firewall IP: 172.16.0.1 | 255.255.255.248
Switch IP  : 172.16.0.2 | 255.255.255.248
Management Network: 192.168.99.0/24

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

İlk iş olarak Firewall ile Switch arasında konuşacak interface arayüzlerine ip atayalım bunun için;

Configure\Network\Interfaces\Port4’ü seçip içerisine giriş yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Switch 172.16.0.2 olacağı için Sophos XG Firewall IP adremizi 172.16.0.1 olarak tanımlayıp yaptığımız ayarları kaydediyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Vlanlarımız Layer-3 Backbone üzerinde olduğu için Firewalla bu Networklerin nerede olduğu göstermek için Route yazıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

192.168.10.0/24 Networküne giderken 172.16.0.2’yi kulan diyoruz. Bütün Vlan-Networkleri(10,20,30,40,99) için bu ayarı yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Static yönlendirmeleri yazdıktan sonra Static Routing Table aşağıdaki gibi olacaktır.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yapımıza göre DHCP Server Sophos XG Firewall üzerinde olacak.
DHCP Havuzları oluşturmak için Configure\Network\DHCP\Server\Add diyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Burada DHCP isteklerinin yapılacağı interface arayüzümüz Port4-172.16.0.1 olarak belirtip “accept client request via relay” alanını seçip DHCP Havuzumuz için aralık belirtiyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

DHCP istediğinin hangi ip adresine doğru yapılacağını Gateway alanına belirtmeliyiz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

DHCP açılan tüm networkler için bu işlemi yapıyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kurallarımızı yazabilmek için Vlanlar Network objelerimi hazır hale getiriyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bütün VlanlarıDHCP Havuzlarını ve Network Objelerini tanımladık. Sıra geldi Basic internet çıkışı yazmaya.

Örneğimizde biz kısıtlama ve engelleme olmaksızın internet çıkış kuralı yazıyor olacağız.

Bu yapıda önerim Guest ve Management Networkler için Firewall Güvenlik Sıkılaştırma kurallarının yazılması gerekmektedir örneğin Guest HTTP/HTTPS ve Mail portlarını kullanarak internete erişebilir diye kural yazdıktan bu kuralın altına Guest ANY To ANY Drop kural yazmalısınız böylelikle Guest Network iç networkümüze erişemiyor olacaktır.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu ve Primary ISP devremizi seçiyoruz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cisco Layer 3 Backbone Vlan Config

Firewall to Switch Atlama Network: 172.16.0.0/29
Firewall IP: 172.16.0.1 | 255.255.255.248
Switch IP  : 172.16.0.2 | 255.255.255.248
Management Network: 192.168.99.0/24

hostname Backbone_SW
no ip domain-lookup
no ip http server
no ip http secure-server
lldp run
service dhcp
ip routing

spanning-tree mode rapid-pvst

service password-encryption
enable secret Password
username sshadmin privilege 15 secret Password
aaa new-model
aaa authentication login default local-case
aaa local authentication attempts max-fail 5
ip domain-name akstuelsistem.com
crypto key generate rsa
ip ssh version 2
ip ssh time-out 30
ip ssh logging events
ip ssh maxstartups 10
ip ssh authentication-retries 5

line vty 0 4
transport input ssh
access-class ACL-SSH in
exec-timeout 15

ip access-list standard ACL-SSH
permit 192.168.99.0 0.0.0.255 log
deny any

vlan 10
name Personel_Vlan
vlan 20
name Server_Vlan
vlan 30
name Ses_Vlan
vlan 40
name Misafir_Vlan
vlan 99
name Management_Vlan

interface gigabitEthernet 1/0/48
switchport mode trunk
switchport trunk allowed vlan all
description Switch To Firewall
no shutdown

interface gigabitEthernet 1/0/47
switchport mode trunk
switchport trunk allowed vlan all
description Controller Trunk Port
no shutdown

interface range gigabitEthernet 1/0/44-46
switchport mode trunk
switchport trunk allowed vlan all
description AP Trunk Port
no shutdown

*** Bildiğiniz üzere Switch ilk açıldığında yada Switche bir bilgisayar bağlandığında Loop(Döngü) oluşmasını engellemek için 15 saniye dinleme15 saniye öğrenme ile toplamda 30 saniyelik beklemenin artından port aktif hale gelir. Bu süreyi kısaltmak için Portfast komutu uygulamaktayız böylelikle Switch üzerine takılan bir port dinlenmeden ve öğrenilmeden direk up edilir. Client Portlarınıza herhangi bir Switchin takılmayacağından eminseniz Portfast yapmanızda fayda var.

interface range gigabitEthernet 1/0/1-43
switchport mode access
switchport access vlan 10
spanning-tree portfast
description Personel Port

no shutdown

interface FastEthernet0
shutdown

interface vlan 1
ip address 172.16.0.2 255.255.255.248
no shutdown

interface vlan 10
ip address 192.168.10.1 255.255.255.0
ip helper-address 172.16.0.1
no shutdown

interface vlan 20
ip address 192.168.20.1 255.255.255.0
no shutdown

interface vlan 30
ip address 192.168.30.1 255.255.255.0
ip helper-address 172.16.0.1
no shutdown

interface vlan 40
ip address 192.168.40.1 255.255.254.0
ip helper-address 172.16.0.1
no shutdown

interface vlan 99
ip address 192.168.99.1 255.255.255.0
no shutdown

ip route 0.0.0.0 0.0.0.0 172.16.0.1

Son olarak yaptığımız ayarların çalışıp çalışmadığını ping atarak test edelim. Aşağıdaki çıktıyı incelediğimizde ICMP paketlerinin başarılı teslim edildiğini görebiliriz.

Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Cisco Layer 3 Backbone Vlan, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

***********************************
Ekstra Komutlar;

show vlan
show vlan brief
show vlan id 20
show interface vlan 20
show interfaces status
show interfaces summary
show interfaces switchport
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 trunk
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/48 summary
show interfaces gigabitEthernet 1/0/48 status

switchport trunk native vlan 99
switchport trunk allowed vlan all
switchport trunk allowed vlan 10,20,30,99
switchport trunk allowed vlan add 20
switchport trunk allowed vlan remove 30

delete flash:vlan.dat
delete vlan.dat

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist