Kampüs Ağlarında

Ağ Yöneticiliğine Giriş

Gökhan AKIN (Yönetim Kurulu Bşk.)

Ozan BÜK (Yönetim Kurulu Üyesi)

Kampüs nedir? Tek noktada çok bilgisayarın bulunduğu ağ yapısı

Örnek: üniversiteler, hastaneler.

(Bir çok büyük bankadan bile tek noktada daha çok bilgisayarı var.)

Buna göre kendine has tasarım kriterleri değişiyor

Kampüs Ağ Yönetimi

• Yeni mekanların projelendirilmesi

• Kampüs ağı yönetimi

• Ağ Problemleri

• Kablolama

• Ağ güvenliği

• Güvenlik politikaları

• Kullanıcıları takip

• Yasaklıyor

Kampüs Ağ Yöneticisinin

Görevleri

Kampüs Ağ Topolojisi

Kampüs Ağ Topolojisi

Kampüs Ağ Bileşenleri

Son Kullanıcı Cihazları:

PC, Laptop, Tablet, IP telefon, Cep telefonları, Soft Phone'lar, Ağ Yazıcıları

NAS ve SAN Cihazları

Kurumlar için veri depolama işlemini gerçekleştirir.

Wireless Controller

Wi-Fi cihazlarının güvenliği, yönetimini ve kontrolünü sağlar.

IP Telephony Server

PSTN hatları ile IP Telefonlar arasındaki çağrı yönetimini gerçekleştirir.

Kablolu ve Kablosuz Alt Yapı

Kampüs Ağ Bileşenleri

Distribution Switches:

Bakır ve Fiber bağlantıları sonlandırır, yüksek kapasiteli L2/L3

anahtarlamayı sağlar.

Edge Switches:

8 Port, 16 Port, 24 Port, 48 Port vb. Desteklediği hızlar: 10/100/1000

Mbps. IP telefonlar ve AP'ler için PoE'li de olabilir.

Wireless Access Points :

Frekans: 2.4Ghz, 5Ghz

Kapsama alanı: 20-30mt iç ortam, 80-100mt dış ortam

Kampüs Ağ Bileşenleri Internet Erişimi

Metro Ethernet, G.SHDSL, kiralık devreler, VPN bağlantıları vb.

Router / Core Layer 3

Yüksek kapasiteli çıkış yönlendiricisi

UTM/Firewall (NGFW)

Firewall: IP/Port Bazlı Filtreleme ve VPN

UTM:

IP/Port Bazlı Filtreleme,

Anti-Spam,

Antivirus,

DPI,

İçerik filtreleme,

URL filtreleme,

IPS ve VPN

Next Generation Firewall (NGFW):

Yüksek Performanslı UTM Cihazı

Yatay ve Dikey Kablolama

Yatay Kablolama ve Düşey

Kablolamalar

Kablolama Altyapısı

Oluşturulması

1. Fiber Altyapı:

• Single Mode Fiber (transceiver pahalı)

• Multimode Fiber (transceiver ucuz)

• Yedek teller (24-48 Tel)

• Yedek hatlar ? (Kepçe Faktörü)

Hız: 1/10/40/100 Gbps

Bakır Kablolama Altyapısı

UTP Altyapısı

• Cat5 UTP

• Cat5e UTP

• Cat6 UTP

• Cat6a UTP

• Cat7 ScTP • 2006: IEEE 802.3an 10 GBASE-T Ethernet standardı

• 55 m (cat 6), 100 m (cat 6a or 7)

Kablolama Altyapısı

UTP Kabloları

• Cat5 UTP

• Cat5e UTP

• Cat6 UTP

• Cat6a UTP

• Cat7 ScTP

Kablolama Altyapısı

TIA/EIA–ISO/IEC

CAT5e—

Class-D CAT6—

Class E CAT6A*—

Class EA CAT7—Class

F CAT7A—

Class FA

Frequency (MHz) 1–100 1–250 1–500 1-600 1-1000

Desteklenen Hız 1000BASE-T 1000BASE-

TX 10GBASE-T 10GBASE-T 1000BASE-

TX

Mesafe 100m 100m 100m 100m 100m

Desteklenen Hız 10GBASE-

T 10GBASE-T 10GBASE-T 10GBASE-T

Mesafe 55m 100m 100m 100m

Desteklenen Hız 40GBASE-T

Mesafe 50m

Desteklenen Hız 100GBASE-T

Mesafe 15m

*Cat 8 (1600Mhz-2000Mhz)

Yatay Kablolama

Büyük Bir Ağın Kablolama Görüntüsü

Büyük Bir Ağın Kablolama Görüntüsü

Loop sorunları:

Bilinçsiz olarak kablolama alt yapısına müdahale edilmesi.

Çözüm: Sağlam kilitli kabinet

Kullanıcıların kontrolsuz olarak odalarına switch takması.

Çözüm: port security / mac address limit

Loop Sorunları

Kablosuz Ağ Altyapısı

Kablosuz Ağ(LAN) Teknolojileri

Scenario Typical Client

Form Factor PHY Link Rate

Aggregate

Capacity

(Speed)

1-antenna AP, 1-

antenna STA,

80 MHz

Handheld 433 Mbit/s 433 Mbit/s

2-antenna AP, 2-

antenna STA,

80 MHz

Tablet, Laptop 867 Mbit/s 867 Mbit/s

1-antenna AP, 1-

antenna STA,

160 MHz

Handheld 867 Mbit/s 867 Mbit/s

2-antenna AP, 2-

antenna STA,

160 MHz

Tablet, Laptop 1.69 Gbit/s 1.69 Gbit/s

4-antenna AP,

four STA with

1antenna,160Mz

Handheld 867 Mbit/s to each

STA 3.39 Gbit/s

802.11ac Teknolojisi

2.Ghz ve 5 Ghz Boş Kanal Sayıları

3 Boş Kanal

19 Boş Kanal AB

23 Boş Kanal ABD

Kablosuz Ağ Dolaşım

2.4 Ghz Kanal Dağılımı

AB Boş Kanal Sayısı

20 Mhz : 19

40 Mhz : 9

80 Mhz : 4

160 Mhz : 2

5 Ghz Kanal Dağılımı

Merkezi / Tekil Access Point

Yönetimi

TEKİL MERKEZİ

Kablosuz Ağ Altyapısı

Kampüs Ağ Tasarımı

3 katmanlı model

Core Layer: Kampüsün çıkış noktası

Merkezi anahtarlama yapan yüksek kapasiteli cihazlar.

Kampüs Ağ Tasarımı

Distribution Layer: Kampüs içinde L3 Yönlendirme

VLAN'ler arası yönlendirme,

ACL (Access Control Lists)

Yedeklilik

- Kablolama Yedekliliği

- Gateway yedekliliği (VRRP, HSRP)

Kampüs Ağ Tasarımı

Access-Layer: Son kullanıcı cihazlarının bağlandığı L2

switch’ler ve access point’lerden oluşur.

Kampüs Ağ Tasarımı

Yedekli yapıda sunucu distribution switch'in birine

bağlanırsa o switch’de arıza olması durumunda devreye

gitmez. Özetle Sunucular doğrudan distribution layer’a

takılmaz!

Yapılmaması Gerekenler

Önemli

Sunucu

Örnek1 : Kablosuz Ağ ve Diğer Ağlar arası geçiş kontrolü ?!?

Yapılmaması Gerekenler

Distributon Switch’i sadece

yönlendirme yapmak için kullanmak!

Yapılan Hatalar:

-> Erişim kontrol listeleri (ACL)

kullanmamak!

-> Distribution Switch’i korumamak!

Örnek2 : Distribution Switch (Default Gateway) IP’sine

doğrudan gelecek trafiğe sınırlama var mı ?!?

IP ve VLAN Planlama

IPv4

IPv6 ◦ Static vs Dynamic

NAT/PAT

Kullanıcı Takibi

Detay için:

Kampüs Ağlarında Aranan Kullanıcıların Tespiti

(Akademik Bilişim 2009 / Harran Üniversitesi)

Link: www.gokhanakin.net

Günümüzde yasal sorumluluklardan dolayı ağ

yöneticilerine belirli bir tarihte aranan bir IP

adresinin kimin tarafından kullanıldığı bilinmek

zorundadır.

(5651 Nolu Kanun)

Ağın Takip Yöntemleri

1- SNMP (Simple Network Management Protocol)

Ağ cihazlarının arayüzleri üzerindeki trafik yükünü

izlemeyi sağlar.

Açık kaynak kodlu yazılımlar: MRTG, CACTI

2- NetFlow/IPFIX/sFlow

• Ağ cihazları üzerinden geçen trafik bilgisi özel

bir formatta raporlanır.

• Ağdaki kullanıcıların trafik kullanım miktarlarını

4. katman port bilgisi ile gösterir.

• Örnek Açık kaynak kodlu yazılımlar: NFDUMP,

NFSEN

Ağın Takip Yöntemleri

Ağın Takip Yöntemleri

2- NetFlow/IPFIX/sFlow

3- Uygulama bazlı trafik analiz sistemleri

• Uygulamaları Derin paket inceleme (DPI) ya da

çeşitli imzalar ile tespit ederler. (7.Katman Analizi)

• Davranışsal analiz ile şifrelenmiş uygulamalar dahi

tespit edilebilir.

• Kısaca ağda kullanılan uygulamaların tespit

edilerek uygun bantgenişliği yönetim politikalarının

belirlenmesinde kullanılır.

Ağın Takip Yöntemleri

3- Uygulama bazlı trafik analiz sistemleri

Ağın Takip Yöntemleri

Bantgenişliği Yönetimi

Detay için:

VI. ULAKNET Çalıştayı 2012 / DEÜ – Çeşme

Gerçek Trafik İstatistikleri Üzerine Analizler

Link: www.gokhanakin.net

İTÜ Bantgenişliği Yönetimi Kronolojisi: 100 Mbps İnternet (Tam doluluk) Yasakçı Dönem

07:00 – 22:00 p2p yasaklı(iptables ipp2p ile)

Yurtlar için squid ve proxy çözümü

Sıkı günlük kota kontrolü ve erişim kesme cezaları (el ile!)

200 Mbps, 400Mpbs İnternet (Tam doluluk) Limitçi Dönem

Merkezi L3 anahtar üzerinde kullanıcı ve grup bazlı

bantgenişliği sınırlaması[2]

600 Mbps İnternet – Adil Dönem

Uygulama bazlı bantgenişliği yönetimi (Yasak,Limit,Kota)

Teşekkürler

www.agyoneticileri.org

Email: info @ agyonetcileri.org

www.agciyiz.net