Sophos XG Firewall OSPF Configuration with Web Interface & CLI Commands

Merhabalar,

Bu makalemde Sophos XG Firewall üniteleri arasında OSPF yapılandırmasını anlatacağım fakat OSPF çalışma mantığını kavrayabilmeniz için genel mimariye temelden giriş yapmamız gerekmektedir. Genel mimari hakkında bilgi sahibi olduktan sonra OSPF yapılandırmasına Step by Step giriş yapacağız.

***Not: Dynamic Routing Protokollere tek bir makalede değinerek kafanızı karıştırmayacağım. Her protokolü ayrı bir makale içerisinde, otonom sistemler ile birlikte detaylı ele alacağım. Böylelikle yapacağım her uygulamada Dynamic Protokoleri adım adım sizlere aktarıyor olacağım.

Bir önceki Dynamic Area makalelerime göz atmak için aşağıdaki linkleri kullanabilirsiniz;

Sophos XG Firewall BGP Configuration with Web Interface & CLI Commands
https://www.firatmeray.com/sophos-xg-firewall-bgp-yapilandirmasi/

Sophos XG Firewall RIP Configuration with Web Interface & CLI Commands
https://www.firatmeray.com/sophos-xg-firewall-rip-configuration-with-web-interface-cli-commands/

Bildiğiniz üzere Routerlar üzerinde farklı networkleri konuşturmak için Statik yönlendirmeler(Static Routing) yazmaktayız fakat İleride Networkümüzün büyüyeceğini varsayarsak Statik rotalar yazmamız işimizi karmaşık bir hale sokacaktır. Bu yüzden Dynamic Routing protokollerini kullanmaktayız.

Dynamic Routing Protokolleride kendi içerisinde ikiye ayrılır. Bunlar Interior Gateway Protocol(IGP) ve Exterior Gateway(EGP)

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Interior Gateway Protocol(IGP): Veri paketleri aynı otonom sistem içerisinde aktarılacaksa Interior Gateway Protocols(IGP) kullanılır. IGP kullanan ağlar arasındaki iletişimin gerçekleşmesi için her iki ağın da aynı otonom sisteme ait olması gerekmektedir. Bu gruptaki otonom sistemleri Intra-AS(Autonomous System) olarak tanımlamaktayız.

Exterior Gateway(EGP): Veri paketlerini farklı Otonom Sistemler(AS) arasında aktarmak için kullanılır. Routerlar cihazların hangi otonom sisteme ait olduklarını o Networke atanan otonom sistem numarasından tanımlar. Farklı otonom sistemlerinin birleşimlerini Inter-AS(Autonomous System) olarak tanımlamaktayız.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Peki Otonom Sistem/Autonomous System(AS) Nedir?

Otonom Sistem kavramını aslında Internet Servis Sağlayıcılarının(ISP) kullanmış olduğu IP Network havuzları oluşturur. Otonom sistemlerde amaç IP ağlarının coğrafi konumlarına göre gruplara paylaşılması/bölünmesi ile IP ağlarının yönetimini kolaylaştırılması ve sınırların çizilmesi amacıyla kullanılır.

2007 yılına kadar tüm otonom sistem numaraları(ASN) 2-Byte 16 bit olarak ifade edilmekteydi. IPv4 adresleri gibi otonom sistem numaralarınında tükeneceğinden dolayı Internet Engineering Task Force (IETF) tarafından 4-Byte 32 bit destekli sistemlere geçilmesi önerildi.

2007 itibariyle 2-Byte ve 4-Byte‘lık bir ASN arasında bir ayrım yoktur ve tüm ASN‘ler 4-Byte 32 bit olarak kabul edilmektedir..

2-Byte 16 bit destekli otonom sistemler 0 ile 65535 arasında değerler almaktaydı ve 64512 – 64534 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

4-Byte 32bit destekli sistemler ise 0 ile 4294967295 arası değerler almaktadır. 4200000000 – 42949672 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

Eğer otonom sistemin başka bir otonom sisteme veya internete bağlanması gerekiyorsa Border Gateway Protocol‘ün manuel yapılandırılması gerekmektedir.

Autonomous System(AS) numaraları Internet Assigned Numbers Authority(IANA) tarafından Regional Internet Registries(RIRs) kuruluşlarına atanmaktadır. Yani bağlı bulunduğunuz bölgedeki ARIN, RIPE, Lacnic, AFRINIC ve APNIC gibi kuruluşlardan satın alınabilirler.

Türkiyede bulunan otonom sistem numalarına ve ip adreslerine aşağıdaki link yardımıyla ulaşabilirsiniz;
https://bgp.he.net/country/TR

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bölgesel İnternet Kayıt Merkezi (Regional Internet registry(RIR))

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmimize bakacak olursak Türkiye RIPE NCC bölgesine aittir. Kullanmış olduğum Static Public IP adresini sorguladığımda Türk Telekoma ait olduğunu görmekteyiz.

https://apps.db.ripe.net/db-web-ui/query?searchtext=

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmi incelediğimizde 78.188.0.0/17 bloğunun Türk Telekomun AS9121 otonom numarasına sahip Backbone Omurgasının arkasında olduğunu görebiliriz. Yani Türk Telekom Ripe‘den aldığı 78.188.0.0/17 Subnetini anons etmektedir.

https://bgp.he.net

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 otonom sisteminin hangi otonom sistemlere bağlantısının olduğunu ve durumunu aşağıdaki linkte kontol edebilirsiniz.

https://bgp.he.net/AS9121

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bildiğiniz üzere Türkiye‘nin direkt olarak Telecom Italia Sparkle – MedNautilus – Mediterranean Backbone hattına bağlantısı bulunmaktadır. Ayrıca Türkiyenin Mediterranean Backbone bağlantısı üzerinden dolaylı olarak European Backbone bağlantısıda bulunmaktadır.

***Not: STI(Sparkle Telecom Italia), Telecom Italia S.p.A iştiraki bir firmadır. Dünya çapında önde gelen bir küresel telekomünikasyon hizmeti sağlayıcısı olan Sparkle Telecom Italia, 2003 yılında kurulmuş. Firmanın faaliyet alanı özellikle Avrupa, Akdeniz ve Latin Amerika bölgeleridir.

Türkiye’nin de bulunduğu İnternet omurgası, önemli backbone noktaları ve deniz altından geçen fiber optik kabloları gösteren haritalara aşağıdaki linklerden ulaşabilirsiniz

https://www.tisparkle.com/our-assets/global-backbone
https://www.submarinecablemap.com/

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 Peerlarına bakacak olursak, AS9121 omurgasının Exchange Peerlar ile 100G bağlantısının olduğunu görebiliriz.

https://www.peeringdb.com/net/1367

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yeri gelmişken POP Location, TNAP ve VA kavramlarına değinmemizde fayda var;

Bildiğiniz üzere Internet Servis sağlayıcıları Metro Ethernet olmayan kurumunuza Fiber bağlantıyı en yakın POP (Point of Presence) noktasından çekmektedir. POP noktası VoIP teknolojisini kullanan internet operatörlerinin internet omurgasına doğrudan erişim sağladıkları ana erişim noktalarıdır.

Evlerinizde veya işyerlerinde telefon kablosu olduğu için Telekom DSL aktarmasını bina dışı kutunuzdan, sokak başındaki aktarma noktasına, oradan da en yakın santrale yapmaktadır. Detaylı bilgi için bir eski makalelerimeme göz atmanızda fayda var.

xDSL (Digital Subscriber Line) Teknolojisi Nedir?
https://www.firatmeray.com/xdsl-digital-subscriber-line-teknolojisi-nedir/

xDSL Hattınız için En Uygun MTU Değerini Bulma/Hesaplama
https://www.firatmeray.com/xdsl-hattinizin-en-uygun-mtu-degerini-bulma/

TNAP(Türkiye Network Altyapı Platformu) ise internet servis sağlayıcılarının kendi aralarındaki internet trafiğini yedekli ve aynı zamanda güvenli bir yol üzerinden taşıyarak kaliteyi arttırmak ve erişim sürelerini aza indirgemek hedefiyle Borusan TelekomDsmartGlobal İletişimGrid TelekomKoç.netSuperonline ve TurkNet gibi Türkiye’nin önde gelen 7 ISS’i tarafından kurulmuş olan bir oluşum. Kullanıcıların internet trafiği hızını, güvenliğini ve kalitesini arttıran bu platform özellikle Türkiye’deki internet trafiği yükünün paylaşılmasında önemli bir çözüm rolü üstleniyor

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VAE yani Veri Akışı Erişimi kelimesinin kısaltmasıdır. İnternet Servis Sağlayıcısı, yerleşik operatör ile Veri Akışı Erişimi (VAE) anlaşması gerçekleştirerek müşterilerini yeni bir erişim yöntemiyle internet hizmeti sağlamasıdır. Eğer bir İnternet servis sağlayıcı, bir bölgede kendi altyapısına sahip değilse başka bir operatörün altyapısını (Örn. Turk Telekom) kullanarak hizmet satar. Altyapıya sahip olan şirket, diğer ISS’ye Veri Akışı Erişimi sağlamış olur.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

*** Peki genel bilgilendirme sonrası asıl konumuza dönecek olursak;

OSPF Nedir?

OSPF(Open Shortest Path First) IETF (Internet Engineering Task Force) tarafıdan geliştirilen ve Dijkstra – Shortest Path First(Önce En Kısa Yol) algoritmasını kullanan Link-State Routing protokolüdür.

Link-State Routing protokolünü kullanan Routerlar diğer Routerlardan öğrendikleri bilgiler sayesinde tüm ağın topoloji haritasını çıkarabilirler yani tüm ağ bilgisine sahiptirler.

OSPF’te en kısa yol seçilirken Coast(maliyet) hesabı yapılır. Aşağıdaki Dijkstra Algoritmasını temsil eden şeklimize bakacak olursak A(0) noktasından B(5) noktasına erişmek istersek, maliyet olarak en kısa yol 0 – 7 – 6 – 5 geçildiğinde toplamı 11 maliyete sahip olan yoldur.

Bu yüzden OSPF‘te en iyi yol, en düşük maliyetli yoldur.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF Layer3 Latmanında çalışan bir protokoldür.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF, yönlendirici cihazların tablosunda Administrative Distance (Yönetim Mesafesi) değeri 110’dur

Administrative distance : Router’larımız birden fazla yönlendirme protokolü çalıştırıyorsa bu değere göre hangi protokole güvenileceğine karar verilir.Bu değerin düşük olması güvenin(kararlılığın) yüksek olması anlamına gelir.

OSPF çerçevesine bakacak olursak OSPF protokol numarası 89’dur.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF çalıştırılan Routerlar birbirlerine varsayılan olarak 10 saniyede bir Hello paketleri göndererek komşuluk sağlamaktadırlar.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdada belirttiğim gibi OSPF’te en kısa yol seçilirken Coast (maliyet) hesabı yapılır. Referans Bant Genişliği değerinin (100 Mbps) Interface Bant Genişliği değerine bölünmesi ile maliyet bulunur. Interface bant genişliği 100 Mbps, 1 Gbps, 10 Gbps, 40 Gbps ve 100 Gbps Coast değeri 1’dir.

10 Mbps’lik ethernet portu için coast değeri 100Mbps/10Mbps = 10 olacaktır. Bu maliyetlere göre en kısa yol rota olarak belirlenir.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF’te AREA (alan) mantığı vardır ve büyük topolojilerde kolaylık sağlamaktadır. Backbone (Omurga) diyebileceğimiz ana AreaAREA 0’dır. Diğer tüm AREA’ların 0’a bir şekilde bağlantısı olması gerekmektedir. 1 Area Maximum 50 Router desteklemektedir.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

ABR(Area Border Router): ABR’ler farklı arealar arasında bağlantı sağlayan routerlardır. Bağlı olduğu her area için farklı bir LSDB’ye sahiptir. ABR’ler bulundukları Area’lar ile ilgili Routing bilgilerini Summary Route biçiminde diğerlerine duyurabilirler. ABR’ler routing bilgisini ilk olarak backbone’a iletirler. Daha sonra bu routing bilgisi Backbone tarafından diğer ABR’lara iletilir.

ASBR(Autonomous-System Border Router): En az bir arayüzü dış bir networke bağlı olan routerlardır. Bu network farklı bir Routing protokolü çalıştıran bir networktür.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF gibi Link-State Routing protokolleri ailesine dahil protokollerde, her router aynı Area(bölge) içindeki tüm networkün topolojisini barındıran ve LSDB(Link-State Database) adı verilen bir veri tabanında barındırılan bilgiye göre yönlendirme kararını verir.

Routerların sahip oldukları LSDB, aynı area içindeki diğer routerlardan alınan LSA’ler (Link-State Advertisement) vasıtasıyla oluşturulur. LSA’ler periyodik olarak değil, networkte herhangi bir değişiklik olduğunda gönderilirler ve routerların ve linklerin durumlarıyla ilgili gerekli bilgileri barındırırlar.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel olarak OSPF’te çıkarılan tüm topoloji DR(Designated Router) ve BDR (Backup Designated Router) olarak seçilen routerlarda tutulur. Tüm güncellemeleri DR olarak seçilen router yönetirken, DR routerda bir problem olması durumunda yönetimi BDR alır.

Routerlar arasında DR-BDR seçimi ise şu şekilde yapılır: en yüksek Router-ID’ye sahip olan ya da en yüksek IP adresine sahip olan router DR seçilir, bir sonraki yüksek IP ya da Router-ID’ye sahip olan routerda BDR seçilir.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Aşağıdaki şemamıza bakacak olursak Sophos XG Firewall üniteleri üzerinde 8. Portları kuracağımız OSPF Networküne dahil etmek için kullanacağız. Ayrıca Local Networkleri konuşturabilmek için her iki Firewall üzerinde OSPF Area tanımlamaları yapmamız gerekmektedir.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall Area 2 Config;

Öncelikle en doğru yapılandırma olarak OSPF alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta OSPF komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi OSPF tarafına bakacak Interface arayüzüne ip atamaya. Burada bana göre dikkat edilmesi gereken en önemli kriter cihazların MTU değerleri.

OSPF bağlantısı kurabilmemiz için OSPF ETH MTU değerlerinin her iki cihaz içinde aynı olması gerekmektedir. Çünkü OSPF MTU değerini önemsemektedir. Eğer cihazlardan birinin ETH MTU değeri farklı ise iletişim sağlanamayacaktır.

MTU (Maximum Transmission Unit) ağ iletişiminde bir birimin taşıyabileceğim maksimum bayt sayısını ifade etmektedir. Ethernet bağlantılarında MTU değeri maksimum 1500‘dür.

MTU ile ilgili detaylı bilgiye ulaşmak için aşağıdaki makaleme göz atmanızda fayda var.
https://www.firatmeray.com/xdsl-hattinizin-en-uygun-mtu-degerini-bulma/

ETH Port 8 içerisine giriş yapıp Area 2 cihazımız için 220.218.140.20 ip adresini atayıp Advanced Settings alanından MTU değerini 1500 olarak tanımlayıp yaptığımız ayarları kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Aşağıdaki resimde görebileceğiniz üzere Area 2 için;

Port1 Local Network: 192.168.2.1/24
Port8 OSPF Area: için 220.218.140.20/24 tanımlamalarımızı yaptık.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi Area 2 için OSPF Network & Area tanımlamalarını yapmaya.

Öncelikle Area 2 cihazımıza Configure\Routing alanından Router ID(10.1.1.2) tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Daha sona 192.168.2.0 Networkümüzün 2.2.2.2 Area içerisinde, 220.218.140.0 Networkümüzün ise Backbone Area 0 tarafında olduğunu belirtiyoruz

Areas alanına 0.0.0.0 Backbone ve 2.2.2.2 Area tanımlamamızı yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Önemli: Normal Area Authentication alanını MD5 olarak seçtim fakat MD5 altında şifreleme alanı çıkmamaktadır. Bu tarafı Sophos ilerleyen süreçte güncelleyerek Password yazma alanıda koyacaktır. Bu durumu şimdilik aşabilmek için Override interface configuration alanında MD5 Password tanımlaması yaparak bu sorunu aşıyoruz. Yada MD5 değilde TXT olarak tanımlama yaparsanız Override interface configuration alanına ihtiyacınız olmayacaktır. Önerim MD5 kullanmanız yönünde.

Override interface configuration\Select Interface diyerek tanımlamamızı yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda OSPF Area için tanımladığımız Port8 Interface arayüzümüzü seçiyoruz.

Default OSPF değerleriyle oynama yapmıyorum genel değerleri kullanacağım.

Asıl tanımlama yapmak istediğimiz kısım Authentication alanı. Bu alanda Key ID ve Key tanımlaması yapıp kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF ayarlarımız Area 2 cihazımız için bu kadar.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

CLI üzerinden OSPF tanımlamak için aşağıdaki komutları kullanabilirsiniz.;

CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
enable
configure terminal
router ospf
ospf router-id 10.1.1.2
ospf abr-type standard
network 192.168.2.0/24 area 2.2.2.2
network 220.218.140.0/24 area 0.0.0.0
area 0.0.0.0 authentication message-digest
area 2.2.2.2 authentication message-digest
interface Port8
ip ospf authentication message-digest
ip ospf message-digest-key 10 md5 12345678
write
show running-config
show startup-config

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF tanımlamasını yaptıktan sonra Arealar arkasında bulunan Networklerin birbirine erişebilmesi için erişim kurallarımızı yazıyoruz.

OSPF IN Rule

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF Out Rule

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kurallarımızı yazdıktan sonra kurallarımızın görüntüsü aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların OSPF üzerinden komşuluk ilişkisi kurulabilmesi için OSPF_Zone alanına Dynamic Routing, SSH, Ping ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall Area 1 Config;

Sıra geldi Area 1 cihazımızı yapılandırmaya, Area 2 cihazımızda olduğu gibi en doğru yapılandırma olarak OSPF alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis( DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta OSPF komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Area 1 cihazında belirttiğim gibi OSPF bağlantısı kurabilmemiz için ETH MTU değerlerinin her iki cihaz içinde aynı olması gerekmektedir. Çünkü OSPF MTU değerini önemsemektedir. Eğer cihazlardan birinin ETH MTU değeri farklı ise iletişim sağlanamayacaktır.

MTU (Maximum Transmission Unit) ağ iletişiminde bir birimin taşıyabileceğim maksimum bayt sayısını ifade etmektedir. Ethernet bağlantılarında MTU değeri maksimum 1500‘dür.

MTU ile ilgili detaylı bilgiye ulaşmak için aşağıdaki makaleme göz atmanızda fayda var.
https://www.firatmeray.com/xdsl-hattinizin-en-uygun-mtu-degerini-bulma/

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Area 1 için;

Port1 Local Network: 192.168.1.1/24
Port8 OSPF Area: için 220.218.140.10/24 tanımlamalarımızı yaptık.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi Area 1 için OSPF Network & Area tanımlamalarını yapmaya.

Öncelikle Area 1 cihazımıza Configure\Routing alanından Router ID(10.1.1.1) tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Daha sona 192.168.1.0 Networkümüzün 1.1.1.1 Area içerisinde, 220.218.140.0 Networkümüzün ise Backbone Area0 tarafında olduğunu belirtiyoruz.

Areas alanına 0.0.0.0 Backbone ve 1.1.1.1 Area tanımlamamızı yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Önemli: Normal Area Authentication alanını MD5 olarak seçtim fakat MD5 altında şifreleme alanı çıkmamaktadır. Bu tarafı Sophos ilerleyen süreçte güncelleyerek Password yazma alanıda koyacaktır. Bu durumu şimdilik aşabilmek için Override interface configuration alanında MD5 Password tanımlaması yaparak bu sorunu aşıyoruz. Yada MD5 değilde TXT olarak tanımlama yaparsanız Override interface configuration alanına ihtiyacınız olmayacaktır. Önerim MD5 kullanmanız yönünde.

Override interface configuration\Select Interface diyerek tanımlamamızı yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda OSPF Area için tanımladığımız Port8 Interface arayüzümüzü seçiyoruz.

Default OSPF değerleriyle oynama yapmıyorum genel değerleri kullanacağım.

Asıl tanımlama yapmak istediğimiz kısım Authentication alanı. Bu alanda Key ID ve Key tanımlaması yapıp kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF ayarlarımız Area 1 cihazımız içinde bu kadar.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

CLI üzerinden OSPF tanımlamak için aşağıdaki komutları kullanabilirsiniz.;

CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
enable
configure terminal
router ospf
ospf router-id 10.1.1.1
ospf abr-type standard
network 192.168.1.0/24 area 1.1.1.1
network 220.218.140.0/24 area 0.0.0.0
area 0.0.0.0 authentication message-digest
area 1.1.1.1 authentication message-digest
interface Port8
ip ospf authentication message-digest
ip ospf message-digest-key 10 md5 12345678
write
show running-config
show startup-config

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF tanımlamasını yaptıktan sonra Arealar arkasında bulunan Networklerin birbirine erişebilmesi için erişim kurallarımızı yazıyoruz.

OSPF IN Rule

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF Out Rule

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Kurallarımızı yazdıktan sonra kurallarımızın görüntüsü aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların OSPF üzerinden komşuluk ilişkisi kurulabilmesi için OSPF_Zone alanına Dynamic Routing, SSH, Ping ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

OSPF Test Komutları

##### OSPF Show Commands #####
CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF

show ip ospf
show ip ospf neighbor
show ip ospf database
show ip ospf route
show ip ospf border-routers

enable
show running-config
show startup-config

Ping + Tracert

Area 2 arkasında bulunan 192.168.2.0/24 Networkünden Area 1 arkasında bulunan 192.168.1.5 FTP Sunucusuna Tracert attığımızda paketimizin OSPF Backbone içerisine girdiğini görebiliriz.

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf neighbor

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf database

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf route

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf border-routers

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

show ip ospf interface Port8

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

tcpdump ‘proto 89’

Sophos XG Firewall, Sophos XG Firewall OSPF , Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Config Özet

##### Route Show Commands #####
CLI / 5.Device Management / 3.Advanced Shell /
route -n
tcpdump ‘proto 89’

##### OSPF Show Commands #####
CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
show ip ospf
show ip ospf neighbor
show ip ospf database
show ip ospf route
show ip ospf border-routers

enable
show running-config
show startup-config

CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
enable
show ip ospf interface Port8

##### OSPF CLI Configuration #####

Area 1 CLI Commands
CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
enable
configure terminal
router ospf
ospf router-id 10.1.1.1
ospf abr-type standard
network 192.168.1.0/24 area 1.1.1.1
network 220.218.140.0/24 area 0.0.0.0
area 0.0.0.0 authentication message-digest
area 1.1.1.1 authentication message-digest
interface Port8
ip ospf authentication message-digest
ip ospf message-digest-key 10 md5 12345678
write
show running-config
show startup-config

Area 2 CLI Commands
CLI\3.Route Configuration\1.Configure Unicast Routing\2.Configure OSPF
enable
configure terminal
router ospf
ospf router-id 10.1.1.2
ospf abr-type standard
network 192.168.2.0/24 area 2.2.2.2
network 220.218.140.0/24 area 0.0.0.0
area 0.0.0.0 authentication message-digest
area 2.2.2.2 authentication message-digest
interface Port8
ip ospf authentication message-digest
ip ospf message-digest-key 10 md5 12345678
write
show running-config
show startup-config

##### Delete OSPF #####

enable
configure terminal
router ospf
no ospf router-id
no network 192.168.10.0/24 area 1.1.1.1
no network 220.218.140.0/24 area 0.0.0.0
no area 0.0.0.0 authentication
no area 1.1.1.1 authentication

interface Port8
no ip ospf authentication
write

##### OSPF Kernel Route #####
*** Not: Varsayılan olarak OSPF Route‘ları Routing tablosunda gösterilmektedir. Böylelikle OSPF yollarının tekrardan kernel yönlendirme tablosuna(kernel routing table) eklenmesi sınırlandırılmıştır.

Eğer Kernel Routing tablosuna OSPF yolunu manuel eklemek isterseniz “ospf push-default-route-to-kernel” komutunu uygulamanız gerekmektedir. Kernel Routing tablosundan eklemiş olduğunuz OSPF yollarını silmek isterseniz “no ospf push-default-route-to-kernel” komutunu uygulamanız gerekmektedir.

enable
configure terminal
router ospf
ospf push-default-route-to-kernel

write

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

OSPF ile ilgili diğer makalerime göz atmak için aşağıdaki linkleri kullanabilirsiniz;

OSPF over GRE Tunnel deki amacımız ise GRE tunnel bağlantısı sağlayarak Local Networklerin OSPF ile konuşturulmasını sağlamak. Bu yöntemde OSPF komşuluk ilişkilerinde paketler GRE Tunnel üzerinden şifreleme olmaksızın iletilmektedir.
https://www.firatmeray.com/sophos-xg-firewall-ospf-over-gre-tunnel/

GRE Tunnel over IPsec with OSPF deki amacımız ise GRE over IPSec tunnel bağlantısı sağlayarak Local Networklerin OSPF ile konuşturulmasını sağlamak. Bu yöntemde OSPF komşuluk ilişkilerinde paketler IPsec VPN üzerinden güvenli bir şekilde iletilmektedir.
https://www.firatmeray.com/sophos-xg-firewall-gretunnel-over-ipsec-with-ospf/

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Referanslar;
https://bilgiguvenligi.saglik.gov.tr/Haberler/Detay/54/gerceklesen-en-buyuk-ddos-saldirisi-ve-memcahce-zafiyeti
https://radore.com/blog/radore-tnap-ve-stiseabone-omurgalarina-baglandi.html
https://cenkercetin.com/ospf-protokolu-ve-lsa-tipleri/
https://salihaltuntas.com/ospf-open-shortest-path-first-protokolu/
https://fullnet.com.tr/faq-items/vae-nedir/

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist