View
221
Download
0
Category
Preview:
Citation preview
Kampüs Ağlarında
Ağ Yöneticiliğine Giriş
Gökhan AKIN (Yönetim Kurulu Bşk.)
Ozan BÜK (Yönetim Kurulu Üyesi)
Kampüs nedir? Tek noktada çok bilgisayarın bulunduğu ağ yapısı
Örnek: üniversiteler, hastaneler.
(Bir çok büyük bankadan bile tek noktada daha çok bilgisayarı var.)
Buna göre kendine has tasarım kriterleri değişiyor
Kampüs Ağ Yönetimi
• Yeni mekanların projelendirilmesi
• Kampüs ağı yönetimi
• Ağ Problemleri
• Kablolama
• Ağ güvenliği
• Güvenlik politikaları
• Kullanıcıları takip
• Yasaklıyor
Kampüs Ağ Yöneticisinin
Görevleri
Kampüs Ağ Topolojisi
Kampüs Ağ Topolojisi
Kampüs Ağ Bileşenleri
Son Kullanıcı Cihazları:
PC, Laptop, Tablet, IP telefon, Cep telefonları, Soft Phone'lar, Ağ Yazıcıları
NAS ve SAN Cihazları
Kurumlar için veri depolama işlemini gerçekleştirir.
Wireless Controller
Wi-Fi cihazlarının güvenliği, yönetimini ve kontrolünü sağlar.
IP Telephony Server
PSTN hatları ile IP Telefonlar arasındaki çağrı yönetimini gerçekleştirir.
Kablolu ve Kablosuz Alt Yapı
Kampüs Ağ Bileşenleri
Distribution Switches:
Bakır ve Fiber bağlantıları sonlandırır, yüksek kapasiteli L2/L3
anahtarlamayı sağlar.
Edge Switches:
8 Port, 16 Port, 24 Port, 48 Port vb. Desteklediği hızlar: 10/100/1000
Mbps. IP telefonlar ve AP'ler için PoE'li de olabilir.
Wireless Access Points :
Frekans: 2.4Ghz, 5Ghz
Kapsama alanı: 20-30mt iç ortam, 80-100mt dış ortam
Kampüs Ağ Bileşenleri Internet Erişimi
Metro Ethernet, G.SHDSL, kiralık devreler, VPN bağlantıları vb.
Router / Core Layer 3
Yüksek kapasiteli çıkış yönlendiricisi
UTM/Firewall (NGFW)
Firewall: IP/Port Bazlı Filtreleme ve VPN
UTM:
IP/Port Bazlı Filtreleme,
Anti-Spam,
Antivirus,
DPI,
İçerik filtreleme,
URL filtreleme,
IPS ve VPN
Next Generation Firewall (NGFW):
Yüksek Performanslı UTM Cihazı
Yatay ve Dikey Kablolama
Yatay Kablolama ve Düşey
Kablolamalar
Kablolama Altyapısı
Oluşturulması
1. Fiber Altyapı:
• Single Mode Fiber (transceiver pahalı)
• Multimode Fiber (transceiver ucuz)
• Yedek teller (24-48 Tel)
• Yedek hatlar ? (Kepçe Faktörü)
Hız: 1/10/40/100 Gbps
Bakır Kablolama Altyapısı
UTP Altyapısı
• Cat5 UTP
• Cat5e UTP
• Cat6 UTP
• Cat6a UTP
• Cat7 ScTP • 2006: IEEE 802.3an 10 GBASE-T Ethernet standardı
• 55 m (cat 6), 100 m (cat 6a or 7)
Kablolama Altyapısı
UTP Kabloları
• Cat5 UTP
• Cat5e UTP
• Cat6 UTP
• Cat6a UTP
• Cat7 ScTP
Kablolama Altyapısı
TIA/EIA–ISO/IEC
CAT5e—
Class-D CAT6—
Class E CAT6A*—
Class EA CAT7—Class
F CAT7A—
Class FA
Frequency (MHz) 1–100 1–250 1–500 1-600 1-1000
Desteklenen Hız 1000BASE-T 1000BASE-
TX 10GBASE-T 10GBASE-T 1000BASE-
TX
Mesafe 100m 100m 100m 100m 100m
Desteklenen Hız 10GBASE-
T 10GBASE-T 10GBASE-T 10GBASE-T
Mesafe 55m 100m 100m 100m
Desteklenen Hız 40GBASE-T
Mesafe 50m
Desteklenen Hız 100GBASE-T
Mesafe 15m
*Cat 8 (1600Mhz-2000Mhz)
Yatay Kablolama
Büyük Bir Ağın Kablolama Görüntüsü
Büyük Bir Ağın Kablolama Görüntüsü
Loop sorunları:
Bilinçsiz olarak kablolama alt yapısına müdahale edilmesi.
Çözüm: Sağlam kilitli kabinet
Kullanıcıların kontrolsuz olarak odalarına switch takması.
Çözüm: port security / mac address limit
Loop Sorunları
Kablosuz Ağ Altyapısı
Kablosuz Ağ(LAN) Teknolojileri
Scenario Typical Client
Form Factor PHY Link Rate
Aggregate
Capacity
(Speed)
1-antenna AP, 1-
antenna STA,
80 MHz
Handheld 433 Mbit/s 433 Mbit/s
2-antenna AP, 2-
antenna STA,
80 MHz
Tablet, Laptop 867 Mbit/s 867 Mbit/s
1-antenna AP, 1-
antenna STA,
160 MHz
Handheld 867 Mbit/s 867 Mbit/s
2-antenna AP, 2-
antenna STA,
160 MHz
Tablet, Laptop 1.69 Gbit/s 1.69 Gbit/s
4-antenna AP,
four STA with
1antenna,160Mz
Handheld 867 Mbit/s to each
STA 3.39 Gbit/s
802.11ac Teknolojisi
2.Ghz ve 5 Ghz Boş Kanal Sayıları
3 Boş Kanal
19 Boş Kanal AB
23 Boş Kanal ABD
Kablosuz Ağ Dolaşım
2.4 Ghz Kanal Dağılımı
AB Boş Kanal Sayısı
20 Mhz : 19
40 Mhz : 9
80 Mhz : 4
160 Mhz : 2
5 Ghz Kanal Dağılımı
Merkezi / Tekil Access Point
Yönetimi
TEKİL MERKEZİ
Kablosuz Ağ Altyapısı
Kampüs Ağ Tasarımı
3 katmanlı model
Core Layer: Kampüsün çıkış noktası
Merkezi anahtarlama yapan yüksek kapasiteli cihazlar.
Kampüs Ağ Tasarımı
Distribution Layer: Kampüs içinde L3 Yönlendirme
VLAN'ler arası yönlendirme,
ACL (Access Control Lists)
Yedeklilik
- Kablolama Yedekliliği
- Gateway yedekliliği (VRRP, HSRP)
Kampüs Ağ Tasarımı
Access-Layer: Son kullanıcı cihazlarının bağlandığı L2
switch’ler ve access point’lerden oluşur.
Kampüs Ağ Tasarımı
Yedekli yapıda sunucu distribution switch'in birine
bağlanırsa o switch’de arıza olması durumunda devreye
gitmez. Özetle Sunucular doğrudan distribution layer’a
takılmaz!
Yapılmaması Gerekenler
Önemli
Sunucu
Örnek1 : Kablosuz Ağ ve Diğer Ağlar arası geçiş kontrolü ?!?
Yapılmaması Gerekenler
Distributon Switch’i sadece
yönlendirme yapmak için kullanmak!
Yapılan Hatalar:
-> Erişim kontrol listeleri (ACL)
kullanmamak!
-> Distribution Switch’i korumamak!
Örnek2 : Distribution Switch (Default Gateway) IP’sine
doğrudan gelecek trafiğe sınırlama var mı ?!?
IP ve VLAN Planlama
IPv4
IPv6 ◦ Static vs Dynamic
NAT/PAT
Kullanıcı Takibi
Detay için:
Kampüs Ağlarında Aranan Kullanıcıların Tespiti
(Akademik Bilişim 2009 / Harran Üniversitesi)
Link: www.gokhanakin.net
Günümüzde yasal sorumluluklardan dolayı ağ
yöneticilerine belirli bir tarihte aranan bir IP
adresinin kimin tarafından kullanıldığı bilinmek
zorundadır.
(5651 Nolu Kanun)
Ağın Takip Yöntemleri
1- SNMP (Simple Network Management Protocol)
Ağ cihazlarının arayüzleri üzerindeki trafik yükünü
izlemeyi sağlar.
Açık kaynak kodlu yazılımlar: MRTG, CACTI
2- NetFlow/IPFIX/sFlow
• Ağ cihazları üzerinden geçen trafik bilgisi özel
bir formatta raporlanır.
• Ağdaki kullanıcıların trafik kullanım miktarlarını
4. katman port bilgisi ile gösterir.
• Örnek Açık kaynak kodlu yazılımlar: NFDUMP,
NFSEN
Ağın Takip Yöntemleri
Ağın Takip Yöntemleri
2- NetFlow/IPFIX/sFlow
3- Uygulama bazlı trafik analiz sistemleri
• Uygulamaları Derin paket inceleme (DPI) ya da
çeşitli imzalar ile tespit ederler. (7.Katman Analizi)
• Davranışsal analiz ile şifrelenmiş uygulamalar dahi
tespit edilebilir.
• Kısaca ağda kullanılan uygulamaların tespit
edilerek uygun bantgenişliği yönetim politikalarının
belirlenmesinde kullanılır.
Ağın Takip Yöntemleri
3- Uygulama bazlı trafik analiz sistemleri
Ağın Takip Yöntemleri
Bantgenişliği Yönetimi
Detay için:
VI. ULAKNET Çalıştayı 2012 / DEÜ – Çeşme
Gerçek Trafik İstatistikleri Üzerine Analizler
Link: www.gokhanakin.net
İTÜ Bantgenişliği Yönetimi Kronolojisi: 100 Mbps İnternet (Tam doluluk) Yasakçı Dönem
07:00 – 22:00 p2p yasaklı(iptables ipp2p ile)
Yurtlar için squid ve proxy çözümü
Sıkı günlük kota kontrolü ve erişim kesme cezaları (el ile!)
200 Mbps, 400Mpbs İnternet (Tam doluluk) Limitçi Dönem
Merkezi L3 anahtar üzerinde kullanıcı ve grup bazlı
bantgenişliği sınırlaması[2]
600 Mbps İnternet – Adil Dönem
Uygulama bazlı bantgenişliği yönetimi (Yasak,Limit,Kota)
Teşekkürler
www.agyoneticileri.org
Email: info @ agyonetcileri.org
www.agciyiz.net
Recommended