🖥️20-FHRP ATTACK

FHRP NEDİR ?

Birinci atlama artıklık protokolü (FHRP), iki veya daha fazla yönlendiricinin bir alt ağda kullanılan varsayılan ağ geçidini korumak için tasarlanmış bir bilgisayar ağı protokolüdür. Bu protokol, iki veya daha fazla yönlendiricinin aynı IP adresini kullanmasına izin verir ve etkin yönlendirici arızalanırsa yedek yönlendirici genellikle birkaç saniye içinde adresi devralır. FHRP, yalnızca yönlendiricileri değil, tek bir IP adresi üzerinde çalışan diğer hizmetleri de korumak için kullanılabilir.

Bu tür protokollerin örnekleri arasında (yaklaşık oluşturulma sırasına göre) aşağıdakiler yer alır:

HSRP (Hot Standby Router Protocol):

  • Cisco tarafından 1998'de geliştirilmiş ilk FHRP protokolüdür.

  • Tescilli bir standarttır.

VRRP (Virtual Router Redundancy Protocol):

  • Cisco'nun HSRP protokolüne dayanan açık bir standarttır.

  • Patentli olsa da, ücretsiz olarak kullanılabilir.

CARP (Common Address Redundancy Protocol):

  • Cisco'nun HSRP ve IETF'nin VRRP protokollerine alternatif bir patentsiz ve ipoteksiz protokol.

  • Ekim 2003'te geliştirildi.

ESRP (Extreme Standby Router Protocol):

  • Extreme Networks tarafından geliştirilmiş hızlı yük devretme ve katman 2 korumasına sahip tescilli bir standarttır.

GLBP (Gateway Load Balancing Protocol):

  • Cisco'nun daha yeni bir tescilli standardı.

  • Yük dengelemenin yanı sıra yedekliliğe de izin verir.

Diğer FHRP Protokolleri:

  • R-SMLT (Yönlendirilmiş Bölünmüş çoklu bağlantı kanalı) - Avaya

  • NSRP (NetScreen Redundancy Protocol) - Juniper Networks

  • C-SRE (Chassis Cluster Redundant Ethernet) - Juniper Networks

  • MAGP (Multi-active Gateway Protocol) - Mellanox

Ek Bilgiler:

  • FHRP protokolleri, bir ağda birden fazla yönlendiricinin aynı IP adresini kullanmasına izin verir.

  • Etkin yönlendirici arızalanırsa, yedek yönlendirici genellikle birkaç saniye içinde adresi devralır.

  • FHRP protokolleri, yalnızca yönlendiricileri değil, tek bir IP adresi üzerinde çalışan diğer hizmetleri de korumak için kullanılabilir.

Hangi FHRP protokolünün seçileceği, ağın özel gereksinimlerine bağlıdır.

Özet:

  • HSRP ve VRRP en yaygın kullanılan FHRP protokolleridir.

  • CARP, patentsiz ve ücretsiz bir alternatiftir.

  • ESRP, hızlı yük devretme ve katman 2 koruması sunar.

  • GLBP, yük dengeleme ve yedekleme sağlar.

First Hop Artıklık Protokolü (FHRP) ile Ne Anlaşılıyor?

İlk Atlama Artıklık Protokolü (FHRP), iki veya daha fazla yönlendiricinin bir alt ağdaki varsayılan ağ geçidini korumak için tasarlanmış bir bilgisayar ağı protokolüdür. FHRP, birden fazla yönlendiricinin aynı IP adresini kullanmasına izin vererek bunu yapar. Etkin yönlendirici arızalanırsa, yedek yönlendirici genellikle birkaç saniye içinde devralır ve trafiği yönlendirmeye devam eder.

"İlk atlama" adı, bilgisayarların trafiği gönderdiği bir ağdaki ilk atlama noktası olarak kabul edilen varsayılan yönlendiriciyi ifade eder.

FHRP'ler Nasıl Çalışır?

Varsayılan yönlendirici ve yedek yönlendirici arasında genellikle bir sanal IP adresi paylaşılır. Ağdaki tüm bilgisayarlar, varsayılan yönlendiricinin gerçek IP adresi yerine varsayılan ağ geçidi olarak kullanmak üzere bu sanal IP adresini kullanacak şekilde yapılandırılabilir.

Bu sanal IP adresinin kullanılmasının birkaç avantajı vardır:

  • Yüksek kullanılabilirlik: Varsayılan yönlendirici arızalanırsa, yedek yönlendirici sanal IP adresini devralır ve ağ kesintisi olmadan trafiği yönlendirmeye devam eder.

  • Yük dengeleme: Birden fazla yönlendiriciye sanal IP adresi atanabilir ve yük dengeleme algoritmaları kullanılarak trafik yönlendiriciler arasında dağıtılabilir.

  • Yönetim kolaylığı: Ağdaki tüm bilgisayarların tek bir IP adresine yönlendirilmesi, ağ yönetimini basitleştirir.

Sanal IP adresinin paylaşılması için iki yönlendirici, "Merhaba" mesajları aracılığıyla iletişim kurar. Bu mesajlar çoklu yayın yoluyla gönderilir ve her iki yönlendirici tarafından da dinlenir.

Merhaba mesajları şunları içerir:

  • Yönlendiricinin kimliği

  • Yönlendiricinin önceliği

  • Sanal IP adresi

  • Yönlendiricinin durumu (aktif veya yedek)

Merhaba mesajlarına dayanarak, iki yönlendirici aşağıdaki rollerden birini üstlenir:

  • Aktif yönlendirici: Aktif yönlendirici, sanal IP adresini kullanır ve alt ağdaki trafik için varsayılan ağ geçidi görevi görür.

  • Yedek yönlendirici: Yedek yönlendirici, aktif yönlendirici arızalanırsa devralmaya hazırdır.

Yönlendirici rolleri, öncelik değerine göre belirlenir. Daha yüksek önceliğe sahip yönlendirici aktif yönlendirici olur. Öncelikler eşitse, daha düşük MAC adresine sahip yönlendirici aktif yönlendirici olur.

Ek Bilgiler:

Şimdi bir örnek yardımıyla FHRP'lerin çalışmasını anlayalım.

Ağda bulunan PC1 gibi bilgisayarlardan birinin Google'a bazı bilgiler istemek üzere bir istek göndermek istediğini varsayalım. Bunu yapmak ve trafiği göndermek için 4 farklı adrese ihtiyacı vardır:

  • Kaynak IP Adresi (PC1 adresi)

  • Hedef IP Adresi (Google'ın IP adresi)

  • Kaynak MAC adresi (PC1 MAC adresi)

  • Hedef MAC adresi (Sanal MAC)

  • Sanal MAC adresini bilmek için PC1, sanal MAC adresini bilmek amacıyla ağdaki ARP isteğini yayınlar . STP protokolü sayesinde yayın fırtınaları oluşmuyor!

  • Yönlendirici0 aktif yönlendirici olduğundan, PC1'e sanal MAC adresini veren bir tek noktaya yayın yanıtı gönderecektir .

  • PC1 daha sonra trafiğini router0'a gönderir.

Varsayılan yönlendirici (router0) çökerse ne olur?

  • Etkin yönlendirici veya varsayılan ağ geçidi çöktüğünde ağda varsayılan ağ geçidi yoktur.

  • Birkaç saniye sonra beklemedeki yönlendirici, aktif yönlendiriciden “Merhaba” mesajlarını almadığını fark eder.

  • Böyle bir durumda yedek yönlendirici aktif yönlendirici olur.

  • Daha sonra, artık aktif yönlendirici haline geldiği diğer tüm bilgisayarları güncellemesi gerekir.

  • Bunu, tüm anahtarların MAC adres tablolarını güncellemesini sağlayarak yapar .

  • Yönlendirici1 artık sanal MAC adresinin kaynak MAC adresini içeren çerçeveler göndermektedir.

  • Bu nedenle istenmeden gönderilen ' gereksiz ARP ' mesajlarını gönderir .

  • Bu mesajlar yayınlandığı için tüm anahtarlar çerçeveyi alır ve MAC adres tablolarını günceller.

  • Artık anahtarlar sanal MAC adresine ulaşabilir.

  • Şimdi çerçeve yönlendirici 1'e gönderilecek.

Not: Router0 tekrar çevrimiçi olduğunda ve sabitlendiğinde artık aktif yönlendirici olarak kabul edilmez. Artık yedek yönlendirici haline gelir.

Üç Protokol Arasındaki Fark Nedir?

Artık FHRP'lerin üç ana çeşidine de aşinasınız. Bu üç protokol arasındaki büyük farkları anlamanın zamanı geldi!

VRRP

VRRP protokolünün temel özellikleri şunlardır:

  • VRRP açık standart bir protokoldür. Cisco'ya ait bir protokol değildir. Bu nedenle herhangi bir üreticinin cihazlarında kullanılabilir.

  • VRRP işlevsellik açısından HSRP'ye oldukça benzer.

  • Aktif ve yedek yönlendirici yerine ana ve yedek yönlendirici seçilir .

  • Kullanılan IPv4 çoklu yayın adresi 224.0.0.18'dir .

  • Sanal MAC adresinin formatı 0000.5e00.01 XX'dir ( XX = VRRP grup üyesi).

  • VRRP, HSRP ile aynı alt ağda yük dengeleme gerçekleştiremese de, her alt ağda farklı ana yönlendiriciler yapılandırarak farklı alt ağlar arasında yük dengelemesi yapabilir.

  • IP protokol numarası 112

  • Ön alım varsayılan olarak etkindir.

  • Sürümler: o VRRP v2 yalnızca IPv4'ü destekler. o VRRP v3, IPv4 ve IPv6'yı destekler (oysa IP adreslerinin her iki sürümü de aynı anda kullanılamaz).

Çalışma

  1. Belirli bir ağ geçidi adresi için yedeklilik sağlaması gereken yönlendiriciler veya Çok Katmanlı Anahtarlar (MLS), ortak VRRP grubuna atanır.

  2. Bir yönlendirici Ana Yönlendirici olarak seçilirken geri kalan tüm yönlendiriciler Yedek Yönlendiricilerdir.

  3. Ana Yönlendirici düzenli aralıklarla (varsayılan 1 saniye) Reklam gönderirken diğer tüm Yedek Yönlendiriciler bu reklamı öğrenir.

VRRP Yönlendirici Seçim Kriterleri:

  1. En Yüksek Öncelik (1 – 255 aralığı, varsayılan – 100)

  2. Arayüzdeki en yüksek IP adresi (VRRP grubunun bir parçasıdır)

GLBP

GLBP'nin ana özellikleri aşağıdaki gibidir:

  • GLBP, HSRP ve VRRP'den biraz farklı bir protokoldür.

  • Tıpkı HSRP gibi, Cisco'ya ait bir protokoldür. Bu nedenle yalnızca Cisco cihazlarda çalışabilmektedir.

  • Tek bir alt ağdaki birden fazla yönlendirici arasında yük dengeleme yapar .

  • Örneğin, PC1 ve PC2'nin her ikisi de aynı VLAN1'deyse, PC1, varsayılan ağ geçidi olarak yönlendirici0'ı kullanabilir ve PC2, varsayılan ağ geçidi olarak yönlendirici1'i kullanabilir.

  • Alt ağ için tek bir Aktif Sanal Ağ Geçidi (AVG) seçilir.

  • Her AVG en fazla 4 Aktif Sanal İletici (AVF) seçebilir . Aslında bir AVG bile AVF görevi görebilir.

  • Seçilen AVF'lerin her biri, alt ağdaki ana bilgisayarların bir bölümü için varsayılan ağ geçidi görevi görür.

  • Bu nedenle yük dengeleme tek bir alt ağ içerisinde yapılabilir.

  • Çok noktaya yayın IPv4 adresi 224.0.0.102'dir . HSRP sürüm 2 ile aynıdır.(varsayılan – 3 saniye)

  • Sanal MAC adresi 0007.b400'dür. XXYY (XX = GLBP grup numarası, YY = AVF numarası).

  • 3222 No.lu bağlantı noktasını kullanır.

  • Ön alım varsayılan olarak devre dışıdır.

GLBP'nin bileşenleri:

  • Aktif Sanal Ağ Geçidi (AVG) : Bir GLBP grubunda, Sanal MAC adresi veya Sanal IP adresi (son ana bilgisayarlar tarafından oluşturulan) için gelen tüm ARP isteklerini yanıtlamaktan sorumlu yalnızca tek bir AVG vardır. AVG daha sonra o ana bilgisayara atanan AVF'nin (Aktif Sanal İletici) Sanal MAC adresiyle yanıt verir.

  • Aktif Sanal İletici (AVF) : Bir GLBP grubunda veri iletmekten sorumlu en fazla 4 AVF bulunabilir.

GLBP Yük Dengelemeyi nasıl sağlar:

  • Bir GLBP Grubuna birden fazla yönlendirici atandığında, bir yönlendirici AVG olarak, bir yönlendirici ise yedek AVG olarak seçilir ve bu 2 yönlendirici dahil olmak üzere tek bir GLBP grubunda maksimum 4 AVF bulunabilir.

  • Gruptaki tüm yönlendiriciler aynı sanal IP adresine sahip olduğundan, tüm yönlendiriciler genel trafiğin bir kısmını ileterek yük dengeleme sunabilir.

  • Bu yük dengeleme tamamen AVG tarafından tüm AVF'lere (grupta benzersiz) atanan bir Sanal MAC adresi kullanılarak sağlanır ve bu Sanal MAC adresleri, ARP yanıtlarında Ana Bilgisayara Ağ Geçidi MAC adresi olarak gönderilir .

HSRP

HSRP protokolünün kritik özelliklerinden bazıları şunlardır:

    • HSRP, Cisco'ya ait olduğundan yalnızca Cisco cihazlarında çalışır. Örneğin Juniper yönlendiricilerde çalışamaz.

    • HSRP'de aktif ve yedek bir yönlendirici seçilir.

    • HSRP'nin iki sürümü vardır:

  • Versiyon 1

  • Sürüm 2 : IPv6 desteği ekler ve yapılandırılabilecek grup sayısını artırır.

  • Birden fazla alt ağın ve VLAN'ın bulunduğu ağlarda, her alt ağın kendi varsayılan ağ geçidine ihtiyacı olduğundan, her alt ağ için bir sanal IP adresi yapılandırmamız gerekir.

  • Sanal IP'lerin her biri farklı bir HSRP grubunda yapılandırılmıştır.

  • Daha önce incelediğimiz gibi aktif ve yedek yönlendiriciler birbirlerine “Merhaba” mesajları gönderirler.

  • Bu çok noktaya yayın IPv4 adresleri aşağıdaki gibidir:

    • V1 = 224.0.0.2

    • V2 = 224.0.0.102

  • Sanal MAC adresleri aşağıdaki gibidir:

    • V1 = 0000.0c07.ac XX (XX = HSRP grup numarası)

    • V2 = 0000.0c9f.f XXX (XXX = HSRP grup numarası)

  • Bu nedenle HSRP grup 1'in sanal MAC adresi, grup numarası 1 olduğundan 0000.0c07.ac01 olacaktır .

  • Birden fazla alt ağ veya VLAN'dan oluşan ağlarda, alt ağların veya VLAN'ların yük dengelemesi, her alt ağdaki farklı bir aktif yönlendirici tarafından yapılabilir.

Çalışma

  • Belirli bir ağ geçidi adresi için yedeklilik sağlaması gereken yönlendiriciler veya Çok Katmanlı Anahtarlar (MLS), ortak bir HSRP grubuna atanır.

  • Bir yönlendirici Aktif HSRP yönlendiricisi olarak seçilirken başka bir yönlendirici Bekleme HSRP yönlendiricisi olarak seçilir ve diğer tüm yönlendiriciler Dinleme durumunda kalır.

  • Yönlendiriciler, birbirlerinin varlığından ve mevcut Aktif yönlendiricinin kim olduğundan haberdar olabilmek için düzenli aralıklarla HSRP merhaba mesajları alışverişinde bulunurlar.

HSRP Yönlendirici Seçim Kriterleri:

  1. En Yüksek Öncelik (1 – 255 aralığı, varsayılan – 100)

  2. Arayüzdeki en yüksek IP adresi (HSRP grubunun bir parçasıdır)

ÖZET

FHRP, bir protokol kümesine verilen bir isimdir.

Previous19- IS-IS ATTACKNext21-MPLS ATTACK

Last updated