SlideShare a Scribd company logo

Ulaknet arka uç bant genişliği optimizasyonu

M
Murat Özalp

merkez ve uzak yerleşkeler arasındaki trafikler

Technology
1 of 31
Download to read offline
1 Arka Uçlar için Bant Genişliği Optimizasyonu 7. Ulaknet Çalıştayı Mayıs 2013, Erzurum Mehmet Ali Öksüz – Ankara Üniversitesi Murat Özalp – Bilecik Ş.E. Üniversitesi Sürüm: 1.7
2/31 İçindekiler • Problemin tanımı • Yerleşkeler arası trafikte neler var? • Arka uçların bağlantılarını nasıl daha verimli kullanabiliriz? • Kullanılabilecek sistemler • Örnek senaryolar
3/31 Problem: Teknikten çok, idari • İnternet (özellikle kurumsal internet) ülkemizde halen pahalı. • Devlet olarak; kendi kurumlarımız arasında kendi yollarımız ve olanaklarımız olmasına rağmen F/O çekemiyor, yabancının çektiklerine kira ödeyerek kullanıyoruz. • Telekom özelleştirmesinde şartnameye bir-iki madde eklenerek bu sıkıntı büyük oranda azaltılabilirdi.
4/31 Bant Genişliği İhtiyacı Sürekli Artıyor • İnternet kullanımı sürekli yaygınlaşıyor: anneler, babalar da artık internette. İnternet olmayan bilgisayarda hiçbir şey yapamıyoruz. • Feci halde tüketici olduk. Sevdiğimiz şarkıyı (klibi ile beraber) onlarca kere internetten dinliyoruz. Aynı ağ kaynaklarını her seferinde işgal ediyoruz. • Klavye kullanmayı sevmiyoruz, dokunarak ve sürterek gezinmeyi tercih ediyoruz. “İnternet beni eğlendir!”
5/31 Klasik Bir ULAKNET Ucu ULAKNET OMURGASI Ana Uç XYZ Üniversitesi (Merkez Yerleşke) ≥ 100 Mb/s Arka Uç ABC Yüksekokulu Arka Uç DEF Fakültesi 5-20 Mb/s 5-20 Mb/s
6/31 Bant Genişliği Optimizasyonu Yeni bir Teknoloji Değil
7/31 • Herkesin evinde en az 4-8 Mb/s İnternet var (benim gibi istisnalar hariç). • 20Mb/s ile bağlanan bir arka uçta, 50 personel ve bir tane de 50 PC'lik laboratuvar varsa, KBDYBG(*) = 200 Kb/s • Arka uç ile merkez arasındaki trafikten haberdar mıyız? • Arka uç ile merkez arasında herhangi bir trafik denetimi yapıyor muyuz? (*) KBDYBG: Kişi Başına Düşen Yaklaşık Bant Genişliği Arka Uçlarda İnternet Yetersiz. NEDEN?
8/31 Yerleşkeler Arasında Neler Oluyor? • İsteyerek başlattığımız trafiğinin haricinde taşıdığımız yayın trafikleri: – Virüsler – Microsoft Windows ağ komşuluk dedikoduları – Hatalı yapılandırılmış istemci mesajları – Keşif protokolleri (Bonjour, IPv6 keşif mesajları, CDP, vb.) – Kötü niyetli kişiler veya yazılımlar tarafından oluşturulan trafik – vb. • Trafik analizi – En çok hangi protokoller var? – En çok trafik yapan bilgisayarlar hangileri – Yazılımlar: Wireshark, ntop, OpenNMS, flow analiz yazılımları, CACTI, Snort, vb. – Ankara üniversitesi 22.000 aktif ucun olduğu ağda, yıllık ücreti 900 TL'lik bir ürünle tüm 4. katman protokol analiz ihtiyacını flow ile karşılıyor.
9/31 Yerleşkeler Arasında Neler Oluyor?
10/31 Arka Uçtaki Tüm Trafik Merkeze Geliyor mu? Arka Uç Merkez Yerleşke Yerleşkeler arasında, ikinci katmanda bağlantı yapmak gerçekten gerekli mi? MetroEthernet
11/31 Arka Uçtaki Tüm Trafik Merkeze Geliyor mu? Arka Uç Merkez Yerleşke
12/31 Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor? • (1) VLAN'lar merkezde sonlanabilir. – Birçok kurumda (Bilecik dahil) şu anda durum böyle. – Yapılandırma sade. Tüm yönlendirme yapılandırması merkezde, omurga anahtarında. – Arka uçlarda MetroEthernet anahtarının tag ayarı hariç; aktif cihaz veya yapılandırma yok. – Arka ucun VLAN'ını merkezde de doğrudan kullanabiliyoruz. (Gerekli mi?) • Sıkıntılar: – Denetimsiz bağlantı, eninde sonunda şişecek. Uzak yerleşkelerde internet'e girip gezinmek isteyenler farketmiştir, merkezdeki tadı vermiyor internet :( – Güvenlik kamerası, VoIP, vb. kritik veriler taşınacağı zaman, bant genişliğinin her bir bps'si önem kazanıyor. – Uzak yerleşkede öğrenciye -denetimsiz- kablosuz yayın yapıldığında; arka uç bant genişliği asla yetmeyecek!
13/31 Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor? • (2) VLAN'lar arka ucun kendisinde sonlanabilir. – Her arka ucun IP yönlendirmesi kendi üzerinde. – Arka uçlar arasında birden fazla rota yoksa, dinamik yönlendirmeye gerek yok, yapılandırma basit. – OSI modelinde; 2. ve 3. katmandaki tüm yayın (broadcast) trafikleri arka ucun kendi içerisinde kalıyor. Bant genişliğinde doğrudan bir rahatlama oluyor. – Arka uç yönlendiricisinde; 4. katmanda Erişim Denetim Listesi (ACL) yazılabilir. – Eğer bu arka uç yönlendiricisi bir kutu değil de sunucu tarzında bir cihaz ise; değmeyin keyfine :) • Detaylı istatistikler, özel raporlar, detaylı ve esnek filtrelemeler, trafik önceliklendirme, trafik şekillendirme, 5651 loglaması, kategori tabanlı trafik denetimi, http ve smtp virüs taraması, VPN, sıkıştırma, vb... • Sıkıntı: – Arka ucun VLAN'ını merkezde de doğrudan kullanamıyoruz. Yani; bir arka uçta kullandığımız 10.8.112.0/24 ağına merkez yerleşkeden de bir PC dahil etme olanağı kalmıyor. Gerçekten gerekli mi?
14/31 Bant Genişliğini Rahatlatma • Web önbellekleme – Microsoft (WSUS yoksa), Adobe, Antivirüs, vb. güncellemeler – Gazete, vb. yoğun bakılan içeriği hızlı verip rahatlık hissi verebilir. – Her arka uçta bir sunucu planlanması gerekmektedir. • Deepfreeze tarzında dondurma sorunu – Güncellemeler kalıcı olmadığı için, bilgisayar her kapanıp açıldığında yeniden indiriliyor. WSUS kullanılsa da diğer güncellemeler sıkıntı. Yapılabilecekler: • Kurumsal sürüme terfi edilebilir • Güncellemeler önbelleklenebilir veya WSUS gibi sistemler kullanılabilir. • Belirli peryotlarla manuel olarak makineler çözülüp güncellenebilir. • Tüm güncellemeler devre dışı bırakılabilir. Zaafiyet kapatan güncellemeler açısından riskli. Bilgisayar bir botnet adına bir süre çalışıp, resetlendiğinde hafıza kaybına uğramış gibi temiz uyanabilir. Sorunun takibi de zor olacaktır.
15/31 Deep Freeze Enterprise
16/31 Bant Genişliğini Rahatlatma • Yerleşkeleri 3. katmanda bağlayalım – Önceki slaytlarda bahsedilmişti. – IP yönlendirme işleminin uzak yerleşkede (arka uçta) yapılması. Bu sayede 2. katman trafiklerinin merkeze taşınmasının engellenmesi. – İnternet'e doğru yapılan bazı engellemelerin arkadaki yönlendiricide yapılması. Örnekler: • LAN → WAN “TCP-25” engellenmesi • LAN → WAN “P2P” portlarının engellenmesi • LAN → WAN “MS Paylaşım” portlarının engellenmesi • LAN → WAN kötü IP listesinin engellenmesi (botnet'ler, vb.) • LAN ↔ WAN kötü trafiğin engellenmesi. Parçalanmış (fragmented), hatalı kurulmuş (SYN, SYN-ACK, ACK handshake sorunlu), vb. • Yapılabiliyorsa, sadece gereklilere (TCP:80,25,110,587,443 – UDP:53 gibi) izin ver; gerisini kapat. Ankara Üniversitesi yapıyor. Yönetim desteği önemli. – İstenirse diğer başka denetim işlemlerinin de yapılabilir.
17/31 Trafik Şekillendirme • Tek bir şekli ve çözümü yok. • Amaç; trafiğin kontrollü ve sağlıklı bir şekilde akması (istekler, araç trafiğine benziyor). – Herkese eşit hak verilsin. – Geçiş üstünlüğü olanlar, duraksamadan devam etsin. – Trafik sıkışmaya başladığında, öncelikli olanlara herkes yol versin. – Herkesin kendine ait kotası olsun, kotasını aşınca önceliği azalsın. – Herkes gideceği yere en kısa yoldan gitsin. Başı boş dolaşan olmasın. – vb. • Farklı tipte planlanması mümkün: – Ağ cihazı (anahtar, yönlendirici, vb.) üzerinde – Hazır kutu cihaz (appliance) – Standart PC'yi “kutu” haline getiren ücretli/ücretsiz hazır sistemler – Standart bir işletim sistemi (Linux, BSD, vb.) üzerinde ayrık uygulamalar
18/31 Trafik Şekillendirme (Anahtar Sözcükler) • Ağ cihazı uygulamaları – Hizmet önceliklendirmesi (QoS). 802.1p, DiffServ • Hazır kutu cihaz üreticileri – A10 Networks, Allot, Blue Coat, F5 networks, Ipoque, Meraki (Cisco), NetEqualizer, Packeteer, vb. • Hazır yazılımlar – Clearos, Endian, Monowall, PfSense, Smoothwall, Untangle, Zentyal, vb. • Linux üzerinde uygulamalar – iptables, ipp2p, l7-filter, tc • BSD üzerinde uygulamalar – pf, altq
19/31 PfSense Traffic Shaper Ekranı
20/31 Iptables ve tc ile örnek # iptables -- trafiği sınıflandırma iptables -t mangle -A POSTROUTING -p udp --sport 8002:8003 -j CLASSIFY --set-class 1:10 iptables -t mangle -A POSTROUTING -p udp --dport 8002:8003 -j CLASSIFY --set-class 1:10 # tc -- sınıflandırılmış trafiği önceliklendirme tc qdisc add dev $INT handle 1 root htb default 20 tc class add dev $INT classid 1:1 htb rate 9mbit ceil 9mbit tc class add dev $INT classid 1:10 parent 1:1 htb rate 1mbit ceil 2mbit prio 0 tc class add dev $INT classid 1:20 parent 1:1 htb rate 7mbit ceil 8mbit prio 2 tc qdisc add dev $INT parent 1:20 handle 20: sfq perturb 10
21/31 Bazı Sitelere Erişiminin Engellenmesi • Sözcük tabanlı engelleme – “False positive” olasılığı çok fazla. Uğraşmak, güncellemek zor. • Kategori tabanlı engelleme – “porno, kumar, oyun sitelerini engelleyelim” şeklinde kolayca kural koyulabiliyor. – Ücretli veya ücretsiz çözümler var. – Ücretli çözümler genelde kategori veritabanının güncellenmesi için abonelik ücreti istiyor. • Yönetim desteği şart ! • WAN tarafında (tek bir yerde) engellenmesi tüm ağı rahatlatmak için yeterli.
22/31 DansGuardian
23/31 Bazı Servislerin Arka Uçta Verilmesi • WSUS: Microsoft güncelleme sunucusu – “İstemciler Microsoft güncellemelerini yerelde çalışan bu sunucudan alsın” – WSUS kurulduktan sonra, AD varsa istemciler bunu kullanmaya zorlanabiliyor. – AD kullanılmıyorsa; küçük bir regedit dosyası oluşturularak, istemcilerde çalıştırılması sağlanabiliyor. – Master-Slave şeklinde bir yapı ile kurulabiliyor. Arka uçlarda birer WSUS sunucusu slave olarak çalıştırılabiliyor. Slave sunucularda; “ana sunucunuz, merkez yerleşkede olandır” şeklinde basit bir ayar yapmak yeterli. • Kurumsal antivirüs sistemi de master-slave şeklinde kurulabilir. – Yoğunluğa göre; her yerleşkede bir ikincil antivirüs sunucusu planlanabilir. – Birçok antivirüs firması (Kaspersky, McAffee, Symantec, vb.) dağıtık sunucu yapısını desteklemektedir.
24/31 Bazı Servislerin Arka Uçta Verilmesi • DHCP: IP dağıtımı arka uçta yapılabilir. • DNS: Her arka uçta bir yansı “secondary DNS” tutulabilir. • SYSLOG: Arka uçtaki log'lar burada toplanabilir. Gerekirse; arşivlemek/imzalamak için gece boş saatlerde merkeze çekilebilir. • Bunların hepsi (hatta daha fazlası) aynı makinede kolaylıkla yapılabilir.
25/31 Arka Uçlarda Kamera Sistemleri • 720p (HD) bir kameranın tam çözünürlük ve 25fps şeklindeki H264 kodlanmış görüntüsü ortalama 5Mb/s ! • Uzaktaki yerleşkedeki kameraların bu şekilde görüntülerinin merkeze alınması şu anda imkansız. • PROBLEM: Uzak yerleşkede afet olursa, kamera görüntülerini kaybedecekmiyiz ?
26/31 Arka Uçlarda Kamera Sistemleri • Her yerleşkede kayıt ünitesi kesinlikle olmalı ve kendi kameraları buraya kaydetmeli. • Her yerleşkeden örnek birkaç kamera seçilmeli bunların görüntüsü merkeze aktarılmalı. • Görüntüler aktarılırken kameralar birden fazla akış (stream) destekliyorsa farklı prosedürler belirlenebilir: – Akış1: 1280x720 boyutunda, 25 fps → kendi depolamasına gönder. – Akış2: 320x240 boyutunda, 1fps → merkez yerleşkeye gönder. • Görüntülerin bir kopyasının gece boş saatlerde merkeze gönderilmesi sağlanabilir.
27/31 Raporlama, İstatistik ve Alarmlar • Gözle muayene basit ve önemlidir. Arada sırada grafiklere bakmaktan zarar gelmez. • Özellikle flow verisinin grafikleri ve raporları işimizi çok rahatlatacaktır. • Cacti, Sawmill, ManageEngine gibi firmaların güzel raporlama araçları var. • Bazı programlarda eşik değeri belirlenilip alarm ayarlanabiliyor. Örnek: – ABC yerleşkemin bant genişliği %90'ı geçtiğinde, e- posta ile haber ver. • “Yönetim desteği” alınabilmesi için, yönetime cicili-bicili grafikler vererek durumu izah etmek lazım. Flow verisi bunun için de önemli.
28/31 Örnek Senaryo (Topolojiyi Hatırlayalım) ULAKNET OMURGASI Ana Uç XYZ Üniversitesi (Merkez Yerleşke) ≥ 100 Mb/s Arka Uç ABC Yüksekokulu Arka Uç DEF Fakültesi 5-20 Mb/s 5-20 Mb/s
29/31 Arka Uç İçin Örnek Senaryo 1: PfSense Kullanımı • IP Yönlendirme (doğal olarak L2 trafiği kesme) • L3, L4 güvenlik duvarı • Trafik şekillendirme • Saldırı tespit ve engelleme • Web önbellekleme • Kategori tabanlı URL filtreleme • DHCP ile IP dağıtma • İkincil DNS servisi • Flow verisi alma ve işleme • vb.
30/31 Arka Uç İçin Örnek Senaryo 2: Linux Kullanımı • IP Yönlendirme • iptables: L3, L4 güvenlik duvarı • tc: Trafik şekillendirme • snort: Saldırı tespit ve engelleme • base: Snort için web tabanlı gui • squid: Web önbellekleme • sarg: Squid için web tabanlı gui • dansguardian: Kategori tabanlı URL filtreleme • isc-dhcp: DHCP ile IP dağıtma • bind: İkincil DNS servisi • Flow verisi alma ve işleme: flow-tools, fprobe, nfsen, nfdump, … • rsyslog: Syslog sunucusu • vb.
31/31 BİTTİ Teşekkürler BuçalışmaCreativeCommonsAlıntı-LisansıDevamEttirme3.0UnportedLisansıilelisanslanmıştır.

Recommended

Mandibular prognatizm pp
Mandibular prognatizm ppMandibular prognatizm pp
Mandibular prognatizm ppMine Mantaş
 
Healing following pdl surgeries.pptx
Healing following pdl surgeries.pptxHealing following pdl surgeries.pptx
Healing following pdl surgeries.pptxNavneet Randhawa
 
Dentinogenesis imperfecta
Dentinogenesis imperfectaDentinogenesis imperfecta
Dentinogenesis imperfectaJohn Velo
 
Dentinogenesis Imperfecta
Dentinogenesis ImperfectaDentinogenesis Imperfecta
Dentinogenesis Imperfectashabeel pn
 
Amelogénesis y dentinogénesis imperfecta 2
Amelogénesis y dentinogénesis imperfecta 2Amelogénesis y dentinogénesis imperfecta 2
Amelogénesis y dentinogénesis imperfecta 2Laura Hernández
 
Dentinogénesis Imperfecta
Dentinogénesis Imperfecta Dentinogénesis Imperfecta
Dentinogénesis Imperfecta LaTia Tuca
 
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaSoftware Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
 
Bilgisayar Ağları
Bilgisayar AğlarıBilgisayar Ağları
Bilgisayar AğlarıFaik GÜNAY
 

Recommended

Mandibular prognatizm pp
Mandibular prognatizm ppMandibular prognatizm pp
Mandibular prognatizm ppMine Mantaş
 
Healing following pdl surgeries.pptx
Healing following pdl surgeries.pptxHealing following pdl surgeries.pptx
Healing following pdl surgeries.pptxNavneet Randhawa
 
Dentinogenesis imperfecta
Dentinogenesis imperfectaDentinogenesis imperfecta
Dentinogenesis imperfectaJohn Velo
 
Dentinogenesis Imperfecta
Dentinogenesis ImperfectaDentinogenesis Imperfecta
Dentinogenesis Imperfectashabeel pn
 
Amelogénesis y dentinogénesis imperfecta 2
Amelogénesis y dentinogénesis imperfecta 2Amelogénesis y dentinogénesis imperfecta 2
Amelogénesis y dentinogénesis imperfecta 2Laura Hernández
 
Dentinogénesis Imperfecta
Dentinogénesis Imperfecta Dentinogénesis Imperfecta
Dentinogénesis Imperfecta LaTia Tuca
 
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaSoftware Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - Nokia
Software Defined Networking (Turkish) - Yazılım Tanımlı Ağlar - NokiaKemal Yiğit Özdemir
 
Bilgisayar Ağları
Bilgisayar AğlarıBilgisayar Ağları
Bilgisayar AğlarıFaik GÜNAY
 
Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ Temellerimsbasarici
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network MonitorKavi International
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaŞahabettin Akca
 
Virtualization - Sanallaştırma
Virtualization - SanallaştırmaVirtualization - Sanallaştırma
Virtualization - SanallaştırmaMustafa Tanyer
 
Ağ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örneklerAğ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örneklerAlonelaz
 
1.modül
1.modül1.modül
1.modülburakerdem1970
 
Bilgisayar Ağları
Bilgisayar AğlarıBilgisayar Ağları
Bilgisayar AğlarıHarun Çetin
 
Vpn
VpnVpn
VpnZibizeretta
 
Kader gencer 31210380682
Kader gencer 31210380682Kader gencer 31210380682
Kader gencer 31210380682KaderGencer
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuKavi International
 
Kopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanciKopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanciBaki Aydın
 
Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)Baki Aydın
 
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonrabaskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonraFatih Erdem
 
Ağ Donanımları
Ağ DonanımlarıAğ Donanımları
Ağ DonanımlarıAtakanFiliz1
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6ibaydan
 
Network Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptxNetwork Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptxCanBerkARMAN
 
Bilgisayar aglari
Bilgisayar aglariBilgisayar aglari
Bilgisayar aglarisaserap
 
Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)merAlperAYSAN
 
İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)Murat KARA
 
60bildiri
60bildiri60bildiri
60bildiriIsmail Sen
 
Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)Murat Özalp
 
Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)Murat Özalp
 

More Related Content

Similar to Ulaknet arka uç bant genişliği optimizasyonu

Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaŞahabettin Akca
 
Virtualization - Sanallaştırma
Virtualization - SanallaştırmaVirtualization - Sanallaştırma
Virtualization - SanallaştırmaMustafa Tanyer
 
Ağ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örneklerAğ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örneklerAlonelaz
 
Bilgisayar Ağları
Bilgisayar AğlarıBilgisayar Ağları
Bilgisayar AğlarıHarun Çetin
 
Kader gencer 31210380682
Kader gencer 31210380682Kader gencer 31210380682
Kader gencer 31210380682KaderGencer
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuKavi International
 
Kopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanciKopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanciBaki Aydın
 
Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)Baki Aydın
 
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonrabaskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonraFatih Erdem
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6ibaydan
 
Network Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptxNetwork Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptxCanBerkARMAN
 
Bilgisayar aglari
Bilgisayar aglariBilgisayar aglari
Bilgisayar aglarisaserap
 
Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)merAlperAYSAN
 
İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)Murat KARA
 

Similar to Ulaknet arka uç bant genişliği optimizasyonu (20)

Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ Temelleri
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / Programlama
 
Virtualization - Sanallaştırma
Virtualization - SanallaştırmaVirtualization - Sanallaştırma
Virtualization - Sanallaştırma
 
Ağ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örneklerAğ i̇şleti̇m si̇stemleri̇ne örnekler
Ağ i̇şleti̇m si̇stemleri̇ne örnekler
 
1.modül
1.modül1.modül
1.modül
 
Bilgisayar Ağları
Bilgisayar AğlarıBilgisayar Ağları
Bilgisayar Ağları
 
Vpn
VpnVpn
Vpn
 
Kader gencer 31210380682
Kader gencer 31210380682Kader gencer 31210380682
Kader gencer 31210380682
 
Solarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumuSolarwinds Orion NPM ve NTA sunumu
Solarwinds Orion NPM ve NTA sunumu
 
Kopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanciKopyası staj dosyası telekom samet yilanci
Kopyası staj dosyası telekom samet yilanci
 
Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)Staj dosyası telekom samet yilanci(1)
Staj dosyası telekom samet yilanci(1)
 
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonrabaskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
baskıyagiden-IP-MPLSaglaruzerindesanalyerelservisler-reviewdan-sonra
 
Ağ Donanımları
Ağ DonanımlarıAğ Donanımları
Ağ Donanımları
 
Ağ eğitim v6
Ağ eğitim v6Ağ eğitim v6
Ağ eğitim v6
 
Network Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptxNetwork Cihazları-CAN BERK ARMAN.pptx
Network Cihazları-CAN BERK ARMAN.pptx
 
Bilgisayar aglari
Bilgisayar aglariBilgisayar aglari
Bilgisayar aglari
 
Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)Yeni microsoft power point sunusu (1)
Yeni microsoft power point sunusu (1)
 
İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)İşletim Sistemleri (Operating Systems)
İşletim Sistemleri (Operating Systems)
 
60bildiri
60bildiri60bildiri
60bildiri
 

More from Murat Özalp

Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)Murat Özalp
 
Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)Murat Özalp
 
Yerleşke telefon sistemi analizi
Yerleşke telefon sistemi analiziYerleşke telefon sistemi analizi
Yerleşke telefon sistemi analiziMurat Özalp
 
Meritokrasi (Liyakat Sistemi)
Meritokrasi (Liyakat Sistemi)Meritokrasi (Liyakat Sistemi)
Meritokrasi (Liyakat Sistemi)Murat Özalp
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim GüvenliğiMurat Özalp
 
Sayısal Yöntemlerle Kök Bulma
Sayısal Yöntemlerle Kök BulmaSayısal Yöntemlerle Kök Bulma
Sayısal Yöntemlerle Kök BulmaMurat Özalp
 

More from Murat Özalp (6)

Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)Hamming Yapay Sinir Ağı (Konu anlatımı)
Hamming Yapay Sinir Ağı (Konu anlatımı)
 
Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)Hamming Yapay Sinir Ağı (Sunu)
Hamming Yapay Sinir Ağı (Sunu)
 
Yerleşke telefon sistemi analizi
Yerleşke telefon sistemi analiziYerleşke telefon sistemi analizi
Yerleşke telefon sistemi analizi
 
Meritokrasi (Liyakat Sistemi)
Meritokrasi (Liyakat Sistemi)Meritokrasi (Liyakat Sistemi)
Meritokrasi (Liyakat Sistemi)
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim Güvenliği
 
Sayısal Yöntemlerle Kök Bulma
Sayısal Yöntemlerle Kök BulmaSayısal Yöntemlerle Kök Bulma
Sayısal Yöntemlerle Kök Bulma
 

Ulaknet arka uç bant genişliği optimizasyonu

  • 1. 1 Arka Uçlar için Bant Genişliği Optimizasyonu 7. Ulaknet Çalıştayı Mayıs 2013, Erzurum Mehmet Ali Öksüz – Ankara Üniversitesi Murat Özalp – Bilecik Ş.E. Üniversitesi Sürüm: 1.7
  • 2. 2/31 İçindekiler • Problemin tanımı • Yerleşkeler arası trafikte neler var? • Arka uçların bağlantılarını nasıl daha verimli kullanabiliriz? • Kullanılabilecek sistemler • Örnek senaryolar
  • 3. 3/31 Problem: Teknikten çok, idari • İnternet (özellikle kurumsal internet) ülkemizde halen pahalı. • Devlet olarak; kendi kurumlarımız arasında kendi yollarımız ve olanaklarımız olmasına rağmen F/O çekemiyor, yabancının çektiklerine kira ödeyerek kullanıyoruz. • Telekom özelleştirmesinde şartnameye bir-iki madde eklenerek bu sıkıntı büyük oranda azaltılabilirdi.
  • 4. 4/31 Bant Genişliği İhtiyacı Sürekli Artıyor • İnternet kullanımı sürekli yaygınlaşıyor: anneler, babalar da artık internette. İnternet olmayan bilgisayarda hiçbir şey yapamıyoruz. • Feci halde tüketici olduk. Sevdiğimiz şarkıyı (klibi ile beraber) onlarca kere internetten dinliyoruz. Aynı ağ kaynaklarını her seferinde işgal ediyoruz. • Klavye kullanmayı sevmiyoruz, dokunarak ve sürterek gezinmeyi tercih ediyoruz. “İnternet beni eğlendir!”
  • 5. 5/31 Klasik Bir ULAKNET Ucu ULAKNET OMURGASI Ana Uç XYZ Üniversitesi (Merkez Yerleşke) ≥ 100 Mb/s Arka Uç ABC Yüksekokulu Arka Uç DEF Fakültesi 5-20 Mb/s 5-20 Mb/s
  • 6. 6/31 Bant Genişliği Optimizasyonu Yeni bir Teknoloji Değil
  • 7. 7/31 • Herkesin evinde en az 4-8 Mb/s İnternet var (benim gibi istisnalar hariç). • 20Mb/s ile bağlanan bir arka uçta, 50 personel ve bir tane de 50 PC'lik laboratuvar varsa, KBDYBG(*) = 200 Kb/s • Arka uç ile merkez arasındaki trafikten haberdar mıyız? • Arka uç ile merkez arasında herhangi bir trafik denetimi yapıyor muyuz? (*) KBDYBG: Kişi Başına Düşen Yaklaşık Bant Genişliği Arka Uçlarda İnternet Yetersiz. NEDEN?
  • 8. 8/31 Yerleşkeler Arasında Neler Oluyor? • İsteyerek başlattığımız trafiğinin haricinde taşıdığımız yayın trafikleri: – Virüsler – Microsoft Windows ağ komşuluk dedikoduları – Hatalı yapılandırılmış istemci mesajları – Keşif protokolleri (Bonjour, IPv6 keşif mesajları, CDP, vb.) – Kötü niyetli kişiler veya yazılımlar tarafından oluşturulan trafik – vb. • Trafik analizi – En çok hangi protokoller var? – En çok trafik yapan bilgisayarlar hangileri – Yazılımlar: Wireshark, ntop, OpenNMS, flow analiz yazılımları, CACTI, Snort, vb. – Ankara üniversitesi 22.000 aktif ucun olduğu ağda, yıllık ücreti 900 TL'lik bir ürünle tüm 4. katman protokol analiz ihtiyacını flow ile karşılıyor.
  • 10. 10/31 Arka Uçtaki Tüm Trafik Merkeze Geliyor mu? Arka Uç Merkez Yerleşke Yerleşkeler arasında, ikinci katmanda bağlantı yapmak gerçekten gerekli mi? MetroEthernet
  • 11. 11/31 Arka Uçtaki Tüm Trafik Merkeze Geliyor mu? Arka Uç Merkez Yerleşke
  • 12. 12/31 Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor? • (1) VLAN'lar merkezde sonlanabilir. – Birçok kurumda (Bilecik dahil) şu anda durum böyle. – Yapılandırma sade. Tüm yönlendirme yapılandırması merkezde, omurga anahtarında. – Arka uçlarda MetroEthernet anahtarının tag ayarı hariç; aktif cihaz veya yapılandırma yok. – Arka ucun VLAN'ını merkezde de doğrudan kullanabiliyoruz. (Gerekli mi?) • Sıkıntılar: – Denetimsiz bağlantı, eninde sonunda şişecek. Uzak yerleşkelerde internet'e girip gezinmek isteyenler farketmiştir, merkezdeki tadı vermiyor internet :( – Güvenlik kamerası, VoIP, vb. kritik veriler taşınacağı zaman, bant genişliğinin her bir bps'si önem kazanıyor. – Uzak yerleşkede öğrenciye -denetimsiz- kablosuz yayın yapıldığında; arka uç bant genişliği asla yetmeyecek!
  • 13. 13/31 Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor? • (2) VLAN'lar arka ucun kendisinde sonlanabilir. – Her arka ucun IP yönlendirmesi kendi üzerinde. – Arka uçlar arasında birden fazla rota yoksa, dinamik yönlendirmeye gerek yok, yapılandırma basit. – OSI modelinde; 2. ve 3. katmandaki tüm yayın (broadcast) trafikleri arka ucun kendi içerisinde kalıyor. Bant genişliğinde doğrudan bir rahatlama oluyor. – Arka uç yönlendiricisinde; 4. katmanda Erişim Denetim Listesi (ACL) yazılabilir. – Eğer bu arka uç yönlendiricisi bir kutu değil de sunucu tarzında bir cihaz ise; değmeyin keyfine :) • Detaylı istatistikler, özel raporlar, detaylı ve esnek filtrelemeler, trafik önceliklendirme, trafik şekillendirme, 5651 loglaması, kategori tabanlı trafik denetimi, http ve smtp virüs taraması, VPN, sıkıştırma, vb... • Sıkıntı: – Arka ucun VLAN'ını merkezde de doğrudan kullanamıyoruz. Yani; bir arka uçta kullandığımız 10.8.112.0/24 ağına merkez yerleşkeden de bir PC dahil etme olanağı kalmıyor. Gerçekten gerekli mi?
  • 14. 14/31 Bant Genişliğini Rahatlatma • Web önbellekleme – Microsoft (WSUS yoksa), Adobe, Antivirüs, vb. güncellemeler – Gazete, vb. yoğun bakılan içeriği hızlı verip rahatlık hissi verebilir. – Her arka uçta bir sunucu planlanması gerekmektedir. • Deepfreeze tarzında dondurma sorunu – Güncellemeler kalıcı olmadığı için, bilgisayar her kapanıp açıldığında yeniden indiriliyor. WSUS kullanılsa da diğer güncellemeler sıkıntı. Yapılabilecekler: • Kurumsal sürüme terfi edilebilir • Güncellemeler önbelleklenebilir veya WSUS gibi sistemler kullanılabilir. • Belirli peryotlarla manuel olarak makineler çözülüp güncellenebilir. • Tüm güncellemeler devre dışı bırakılabilir. Zaafiyet kapatan güncellemeler açısından riskli. Bilgisayar bir botnet adına bir süre çalışıp, resetlendiğinde hafıza kaybına uğramış gibi temiz uyanabilir. Sorunun takibi de zor olacaktır.
  • 16. 16/31 Bant Genişliğini Rahatlatma • Yerleşkeleri 3. katmanda bağlayalım – Önceki slaytlarda bahsedilmişti. – IP yönlendirme işleminin uzak yerleşkede (arka uçta) yapılması. Bu sayede 2. katman trafiklerinin merkeze taşınmasının engellenmesi. – İnternet'e doğru yapılan bazı engellemelerin arkadaki yönlendiricide yapılması. Örnekler: • LAN → WAN “TCP-25” engellenmesi • LAN → WAN “P2P” portlarının engellenmesi • LAN → WAN “MS Paylaşım” portlarının engellenmesi • LAN → WAN kötü IP listesinin engellenmesi (botnet'ler, vb.) • LAN ↔ WAN kötü trafiğin engellenmesi. Parçalanmış (fragmented), hatalı kurulmuş (SYN, SYN-ACK, ACK handshake sorunlu), vb. • Yapılabiliyorsa, sadece gereklilere (TCP:80,25,110,587,443 – UDP:53 gibi) izin ver; gerisini kapat. Ankara Üniversitesi yapıyor. Yönetim desteği önemli. – İstenirse diğer başka denetim işlemlerinin de yapılabilir.
  • 17. 17/31 Trafik Şekillendirme • Tek bir şekli ve çözümü yok. • Amaç; trafiğin kontrollü ve sağlıklı bir şekilde akması (istekler, araç trafiğine benziyor). – Herkese eşit hak verilsin. – Geçiş üstünlüğü olanlar, duraksamadan devam etsin. – Trafik sıkışmaya başladığında, öncelikli olanlara herkes yol versin. – Herkesin kendine ait kotası olsun, kotasını aşınca önceliği azalsın. – Herkes gideceği yere en kısa yoldan gitsin. Başı boş dolaşan olmasın. – vb. • Farklı tipte planlanması mümkün: – Ağ cihazı (anahtar, yönlendirici, vb.) üzerinde – Hazır kutu cihaz (appliance) – Standart PC'yi “kutu” haline getiren ücretli/ücretsiz hazır sistemler – Standart bir işletim sistemi (Linux, BSD, vb.) üzerinde ayrık uygulamalar
  • 18. 18/31 Trafik Şekillendirme (Anahtar Sözcükler) • Ağ cihazı uygulamaları – Hizmet önceliklendirmesi (QoS). 802.1p, DiffServ • Hazır kutu cihaz üreticileri – A10 Networks, Allot, Blue Coat, F5 networks, Ipoque, Meraki (Cisco), NetEqualizer, Packeteer, vb. • Hazır yazılımlar – Clearos, Endian, Monowall, PfSense, Smoothwall, Untangle, Zentyal, vb. • Linux üzerinde uygulamalar – iptables, ipp2p, l7-filter, tc • BSD üzerinde uygulamalar – pf, altq
  • 20. 20/31 Iptables ve tc ile örnek # iptables -- trafiği sınıflandırma iptables -t mangle -A POSTROUTING -p udp --sport 8002:8003 -j CLASSIFY --set-class 1:10 iptables -t mangle -A POSTROUTING -p udp --dport 8002:8003 -j CLASSIFY --set-class 1:10 # tc -- sınıflandırılmış trafiği önceliklendirme tc qdisc add dev $INT handle 1 root htb default 20 tc class add dev $INT classid 1:1 htb rate 9mbit ceil 9mbit tc class add dev $INT classid 1:10 parent 1:1 htb rate 1mbit ceil 2mbit prio 0 tc class add dev $INT classid 1:20 parent 1:1 htb rate 7mbit ceil 8mbit prio 2 tc qdisc add dev $INT parent 1:20 handle 20: sfq perturb 10
  • 21. 21/31 Bazı Sitelere Erişiminin Engellenmesi • Sözcük tabanlı engelleme – “False positive” olasılığı çok fazla. Uğraşmak, güncellemek zor. • Kategori tabanlı engelleme – “porno, kumar, oyun sitelerini engelleyelim” şeklinde kolayca kural koyulabiliyor. – Ücretli veya ücretsiz çözümler var. – Ücretli çözümler genelde kategori veritabanının güncellenmesi için abonelik ücreti istiyor. • Yönetim desteği şart ! • WAN tarafında (tek bir yerde) engellenmesi tüm ağı rahatlatmak için yeterli.
  • 23. 23/31 Bazı Servislerin Arka Uçta Verilmesi • WSUS: Microsoft güncelleme sunucusu – “İstemciler Microsoft güncellemelerini yerelde çalışan bu sunucudan alsın” – WSUS kurulduktan sonra, AD varsa istemciler bunu kullanmaya zorlanabiliyor. – AD kullanılmıyorsa; küçük bir regedit dosyası oluşturularak, istemcilerde çalıştırılması sağlanabiliyor. – Master-Slave şeklinde bir yapı ile kurulabiliyor. Arka uçlarda birer WSUS sunucusu slave olarak çalıştırılabiliyor. Slave sunucularda; “ana sunucunuz, merkez yerleşkede olandır” şeklinde basit bir ayar yapmak yeterli. • Kurumsal antivirüs sistemi de master-slave şeklinde kurulabilir. – Yoğunluğa göre; her yerleşkede bir ikincil antivirüs sunucusu planlanabilir. – Birçok antivirüs firması (Kaspersky, McAffee, Symantec, vb.) dağıtık sunucu yapısını desteklemektedir.
  • 24. 24/31 Bazı Servislerin Arka Uçta Verilmesi • DHCP: IP dağıtımı arka uçta yapılabilir. • DNS: Her arka uçta bir yansı “secondary DNS” tutulabilir. • SYSLOG: Arka uçtaki log'lar burada toplanabilir. Gerekirse; arşivlemek/imzalamak için gece boş saatlerde merkeze çekilebilir. • Bunların hepsi (hatta daha fazlası) aynı makinede kolaylıkla yapılabilir.
  • 25. 25/31 Arka Uçlarda Kamera Sistemleri • 720p (HD) bir kameranın tam çözünürlük ve 25fps şeklindeki H264 kodlanmış görüntüsü ortalama 5Mb/s ! • Uzaktaki yerleşkedeki kameraların bu şekilde görüntülerinin merkeze alınması şu anda imkansız. • PROBLEM: Uzak yerleşkede afet olursa, kamera görüntülerini kaybedecekmiyiz ?
  • 26. 26/31 Arka Uçlarda Kamera Sistemleri • Her yerleşkede kayıt ünitesi kesinlikle olmalı ve kendi kameraları buraya kaydetmeli. • Her yerleşkeden örnek birkaç kamera seçilmeli bunların görüntüsü merkeze aktarılmalı. • Görüntüler aktarılırken kameralar birden fazla akış (stream) destekliyorsa farklı prosedürler belirlenebilir: – Akış1: 1280x720 boyutunda, 25 fps → kendi depolamasına gönder. – Akış2: 320x240 boyutunda, 1fps → merkez yerleşkeye gönder. • Görüntülerin bir kopyasının gece boş saatlerde merkeze gönderilmesi sağlanabilir.
  • 27. 27/31 Raporlama, İstatistik ve Alarmlar • Gözle muayene basit ve önemlidir. Arada sırada grafiklere bakmaktan zarar gelmez. • Özellikle flow verisinin grafikleri ve raporları işimizi çok rahatlatacaktır. • Cacti, Sawmill, ManageEngine gibi firmaların güzel raporlama araçları var. • Bazı programlarda eşik değeri belirlenilip alarm ayarlanabiliyor. Örnek: – ABC yerleşkemin bant genişliği %90'ı geçtiğinde, e- posta ile haber ver. • “Yönetim desteği” alınabilmesi için, yönetime cicili-bicili grafikler vererek durumu izah etmek lazım. Flow verisi bunun için de önemli.
  • 28. 28/31 Örnek Senaryo (Topolojiyi Hatırlayalım) ULAKNET OMURGASI Ana Uç XYZ Üniversitesi (Merkez Yerleşke) ≥ 100 Mb/s Arka Uç ABC Yüksekokulu Arka Uç DEF Fakültesi 5-20 Mb/s 5-20 Mb/s
  • 29. 29/31 Arka Uç İçin Örnek Senaryo 1: PfSense Kullanımı • IP Yönlendirme (doğal olarak L2 trafiği kesme) • L3, L4 güvenlik duvarı • Trafik şekillendirme • Saldırı tespit ve engelleme • Web önbellekleme • Kategori tabanlı URL filtreleme • DHCP ile IP dağıtma • İkincil DNS servisi • Flow verisi alma ve işleme • vb.
  • 30. 30/31 Arka Uç İçin Örnek Senaryo 2: Linux Kullanımı • IP Yönlendirme • iptables: L3, L4 güvenlik duvarı • tc: Trafik şekillendirme • snort: Saldırı tespit ve engelleme • base: Snort için web tabanlı gui • squid: Web önbellekleme • sarg: Squid için web tabanlı gui • dansguardian: Kategori tabanlı URL filtreleme • isc-dhcp: DHCP ile IP dağıtma • bind: İkincil DNS servisi • Flow verisi alma ve işleme: flow-tools, fprobe, nfsen, nfdump, … • rsyslog: Syslog sunucusu • vb.