Kampüs Ağlarında
Ağ Yöneticiliğine Giriş
Gökhan AKIN (Yönetim Kurulu Bşk.)
Ozan BÜK (Yönetim Kurulu Üyesi)
Kampüs Ağ Yönetimi
Kampüs nedir? Tek noktada çok bilgisayarın bulunduğu ağ yapısı
Örnek: üniversiteler, hastaneler.
(Bir çok büyük bankadan bile tek noktada daha çok bilgisayarı var.)
Buna göre kendine has tasarım kriterleri değişiyor
Kampüs Ağ Yöneticisinin
Görevleri
• Yeni mekanların projelendirilmesi
• Kampüs ağı yönetimi
• Ağ Problemleri
• Kablolama
• Ağ güvenliği
• Güvenlik politikaları
• Kullanıcıları takip
• Yasaklıyor 
Kampüs Ağ Topolojisi
Kampüs Ağ Topolojisi
Kampüs Ağ Bileşenleri
Son Kullanıcı Cihazları:
PC, Laptop, Tablet, IP telefon, Cep telefonları, Soft Phone'lar, Ağ Yazıcıları
NAS ve SAN Cihazları
Kurumlar için veri depolama işlemini gerçekleştirir.
Wireless Controller
Wi-Fi cihazlarının güvenliği, yönetimini ve kontrolünü sağlar.
IP Telephony Server
PSTN hatları ile IP Telefonlar arasındaki çağrı yönetimini gerçekleştirir.
Kablolu ve Kablosuz Alt Yapı
Kampüs Ağ Bileşenleri
Distribution Switches:
Bakır ve Fiber bağlantıları sonlandırır, yüksek kapasiteli L2/L3
anahtarlamayı sağlar.
Edge Switches:
8 Port, 16 Port, 24 Port, 48 Port vb. Desteklediği hızlar: 10/100/1000
Mbps. IP telefonlar ve AP'ler için PoE'li de olabilir.
Wireless Access Points :
Frekans: 2.4Ghz, 5Ghz
Kapsama alanı: 20-30mt iç ortam, 80-100mt dış ortam
Kampüs Ağ Bileşenleri
Internet Erişimi
Metro Ethernet, G.SHDSL, kiralık devreler, VPN bağlantıları vb.
Router / Core Layer 3
Yüksek kapasiteli çıkış yönlendiricisi
UTM/Firewall (NGFW)
Firewall: IP/Port Bazlı Filtreleme ve VPN
UTM:
IP/Port Bazlı Filtreleme,
Anti-Spam,
Antivirus,
DPI,
İçerik filtreleme,
URL filtreleme,
IPS ve VPN
Next Generation Firewall (NGFW):
Yüksek Performanslı UTM Cihazı
Yatay ve Dikey Kablolama
Yatay Kablolama ve Düşey
Kablolamalar
Kablolama Altyapısı
Oluşturulması
1. Fiber Altyapı:
• Single Mode Fiber (transceiver pahalı)
• Multimode Fiber (transceiver ucuz)
• Yedek teller (24-48 Tel)
• Yedek hatlar ? (Kepçe Faktörü)
Hız: 1/10/40/100 Gbps
Bakır Kablolama Altyapısı
UTP Altyapısı
• Cat5 UTP
• Cat5e UTP
• Cat6 UTP
• Cat6a UTP
• Cat7 ScTP
•
•
2006: IEEE 802.3an 10 GBASE-T Ethernet standardı
55 m (cat 6), 100 m (cat 6a or 7)
Kablolama Altyapısı
UTP Kabloları
• Cat5 UTP
• Cat5e UTP
• Cat6 UTP
• Cat6a UTP
• Cat7 ScTP
Kablolama Altyapısı
CAT6—
Class E
CAT6A*—
Class EA
CAT7—Class CAT7A—
F
Class FA
1–250
1–500
1-600
1-1000
Desteklenen Hız
1000BASE1000BASE-T TX
10GBASE-T
10GBASE-T
1000BASETX
Mesafe
100m
100m
100m
Desteklenen Hız
100m
100m
10GBASET
10GBASE-T
10GBASE-T
10GBASE-T
Mesafe
55m
100m
100m
TIA/EIA–ISO/IEC
CAT5e—
Class-D
Frequency (MHz) 1–100
100m
Desteklenen Hız
40GBASE-T
Mesafe
50m
Desteklenen Hız
100GBASE-T
Mesafe
15m
*Cat 8 (1600Mhz-2000Mhz)
Yatay Kablolama
Büyük Bir Ağın Kablolama Görüntüsü
Büyük Bir Ağın Kablolama Görüntüsü
Loop Sorunları
Loop sorunları:
Bilinçsiz olarak kablolama alt yapısına müdahale edilmesi.
Çözüm: Sağlam kilitli kabinet 
Kullanıcıların kontrolsuz olarak odalarına switch takması.
Çözüm: port security / mac address limit
Kablosuz Ağ Altyapısı
Kablosuz Ağ(LAN) Teknolojileri
802.11ac Teknolojisi
Scenario
Typical Client
Form Factor
PHY Link Rate
Aggregate
Capacity
(Speed)
1-antenna AP, 1antenna STA,
80 MHz
Handheld
433 Mbit/s
433 Mbit/s
2-antenna AP, 2antenna STA,
80 MHz
Tablet, Laptop
867 Mbit/s
867 Mbit/s
1-antenna AP, 1antenna STA,
160 MHz
Handheld
867 Mbit/s
867 Mbit/s
2-antenna AP, 2antenna STA,
160 MHz
Tablet, Laptop
1.69 Gbit/s
1.69 Gbit/s
4-antenna AP,
four STA with
1antenna,160Mz
Handheld
867 Mbit/s to each
3.39 Gbit/s
STA
2.Ghz ve 5 Ghz Boş Kanal Sayıları
3 Boş Kanal
19 Boş Kanal AB
23 Boş Kanal ABD
Kablosuz Ağ Dolaşım
2.4 Ghz Kanal Dağılımı
5 Ghz Kanal Dağılımı
AB Boş Kanal Sayısı
20 Mhz : 19
40 Mhz : 9
80 Mhz : 4
160 Mhz : 2
Merkezi / Tekil Access Point
Yönetimi
TEKİL
MERKEZİ
Kablosuz Ağ Altyapısı
Kampüs Ağ Tasarımı
Kampüs Ağ Tasarımı
3 katmanlı model
Core Layer: Kampüsün çıkış noktası
Merkezi anahtarlama yapan yüksek kapasiteli cihazlar.
Kampüs Ağ Tasarımı
Distribution Layer: Kampüs içinde L3 Yönlendirme
VLAN'ler arası yönlendirme,
ACL (Access Control Lists)
Yedeklilik
- Kablolama Yedekliliği
- Gateway yedekliliği (VRRP, HSRP)
Kampüs Ağ Tasarımı
Access-Layer: Son kullanıcı cihazlarının bağlandığı L2
switch’ler ve access point’lerden oluşur.
Yapılmaması Gerekenler
Önemli
Sunucu
Yedekli yapıda sunucu distribution switch'in birine
bağlanırsa o switch’de arıza olması durumunda devreye
gitmez. Özetle Sunucular doğrudan distribution layer’a
takılmaz!
Yapılmaması Gerekenler
Distributon Switch’i sadece
yönlendirme yapmak için kullanmak!
Yapılan Hatalar:
-> Erişim kontrol listeleri (ACL)
kullanmamak!
-> Distribution Switch’i korumamak!
Örnek1 : Kablosuz Ağ ve Diğer Ağlar arası geçiş kontrolü ?!?
Örnek2 : Distribution Switch (Default Gateway) IP’sine
doğrudan gelecek trafiğe sınırlama var mı ?!?
IP ve VLAN Planlama
IPv4
IPv6
◦ Static vs Dynamic
NAT/PAT
Kullanıcı Takibi
Günümüzde yasal sorumluluklardan dolayı ağ
yöneticilerine belirli bir tarihte aranan bir IP
adresinin kimin tarafından kullanıldığı bilinmek
zorundadır.
(5651 Nolu Kanun)
Detay için:
Kampüs Ağlarında Aranan Kullanıcıların Tespiti
(Akademik Bilişim 2009 / Harran Üniversitesi)
Link: www.gokhanakin.net
Ağın Takip Yöntemleri
1- SNMP (Simple Network Management Protocol)
Ağ cihazlarının arayüzleri üzerindeki trafik yükünü
izlemeyi sağlar.
Açık kaynak kodlu yazılımlar: MRTG, CACTI
Ağın Takip Yöntemleri
2- NetFlow/IPFIX/sFlow
• Ağ cihazları üzerinden geçen trafik bilgisi özel
bir formatta raporlanır.
• Ağdaki kullanıcıların trafik kullanım miktarlarını
4. katman port bilgisi ile gösterir.
• Örnek Açık kaynak kodlu yazılımlar: NFDUMP,
NFSEN
Ağın Takip Yöntemleri
2- NetFlow/IPFIX/sFlow
Ağın Takip Yöntemleri
3- Uygulama bazlı trafik analiz sistemleri
• Uygulamaları Derin paket inceleme (DPI) ya da
çeşitli imzalar ile tespit ederler. (7.Katman Analizi)
• Davranışsal analiz ile şifrelenmiş uygulamalar dahi
tespit edilebilir.
• Kısaca ağda kullanılan uygulamaların tespit
edilerek uygun bantgenişliği yönetim politikalarının
belirlenmesinde kullanılır.
Ağın Takip Yöntemleri
3- Uygulama bazlı trafik analiz sistemleri
Bantgenişliği Yönetimi
İTÜ Bantgenişliği Yönetimi Kronolojisi:
100 Mbps İnternet (Tam doluluk) Yasakçı Dönem
07:00 – 22:00 p2p yasaklı(iptables ipp2p ile)
Yurtlar için squid ve proxy çözümü
Sıkı günlük kota kontrolü ve erişim kesme cezaları (el ile!)
200 Mbps, 400Mpbs İnternet (Tam doluluk) Limitçi Dönem
Merkezi L3 anahtar üzerinde kullanıcı ve grup bazlı
bantgenişliği sınırlaması[2]
600 Mbps İnternet – Adil Dönem
Uygulama bazlı bantgenişliği yönetimi (Yasak,Limit,Kota)
Detay için:
VI. ULAKNET Çalıştayı 2012 / DEÜ – Çeşme
Gerçek Trafik İstatistikleri Üzerine Analizler
Link: www.gokhanakin.net
Teşekkürler
www.agyoneticileri.org
Email: info @ agyonetcileri.org
www.agciyiz.net
Download

Kampüs Ağlarında Ağ Yöneticiliğine Giriş