ZyXEL PARTNER EĞİTİMLERİ KURS DÖKÜMANI NETRON
Transkript
ZyXEL PARTNER EĞİTİMLERİ KURS DÖKÜMANI NETRON
ZyXEL PARTNER EĞİTİMLERİ KURS DÖKÜMANI NETRON TECHNOLOGY 2008 İçindekiler 2 İçindekiler İçindekiler ................................................................................ 2 Temel Network Kavramları ....................................................... 7 Network’lerde Veri Aktarımı .........................................................................7 Veri Paketleri ...................................................................................................10 Network Tipleri ...............................................................................................11 Network Scope’ları ........................................................................................11 Temel Network Bileşenleri ..........................................................................14 Network Adaptörleri ..................................................................................14 Kablolar.........................................................................................................19 OSI Referans Modeli .....................................................................................22 OSI ve Çalışma Prensibi...........................................................................24 OSI Katmanları ...........................................................................................27 Network’ü Genişletmek................................................................................30 Hub’lar ...........................................................................................................31 Switch ............................................................................................................33 Router............................................................................................................35 Gateway........................................................................................................38 IP ADRESLEME................................................................................................39 IP Adreslemenin Amacı ............................................................................39 IP İle Adresleme.............................................................................................41 Subnet Mask ve IP Adreslerinin Genel Yapısı ...................................41 Onlu Sistemin İkili Sisteme Çevrilmesi ...............................................44 AND İşlemi ve IP Sınıfları ........................................................................45 IP Sınıfları .....................................................................................................49 Subnetting İşlemi ve Subnetting Hesapları .......................................52 WAN TEKNOLOJİLERİ ...................................................................................57 Leased Line Teknolojisi Nedir, Nasıl Çalışır? .....................................57 Frame Relay Teknolojisi Nedir, Nasıl Çalışır?....................................59 ATM (Asynchronous Transfer Mode)....................................................62 ADSL ..............................................................................................................66 Avantajlar.....................................................................................................70 Dezavantajları .............................................................................................71 G.SHDSL .......................................................................................................71 Metro Ethernet............................................................................................73 3 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ZyWALL USG Serisi ................................................................. 75 ZyWALL USG Serisi Özellikleri ...................................................................75 Firewall ..........................................................................................................75 Virtual Private Networks (VPN) .............................................................77 IDP (Atak Tespit ve Engelleme) ............................................................79 Anti-Virüs......................................................................................................79 Anti-Spam ....................................................................................................80 Content Filtering (İçerik Filitreleme) ...................................................80 Application Patrol .......................................................................................80 Bandwidth Management (Bandgenişliği Yönetimi)..........................81 High Availability (Yüksek Erişebilirlilik)...............................................81 ZyWALL Konfigürasyon Örnekleri: ...........................................................82 Interface Rollerinin Değiştirilmesi ........................................................83 WAN Arayüzünde PPPoE konfigürasyonu ...........................................84 Zone Konfigürasyonu................................................................................87 DDNS Konfigürasyonu..............................................................................89 Port Yönlendirmesi (Virtual Servers)...................................................91 Firewall Kurallarının Tanımlanması ......................................................93 Force User Authentication.......................................................................97 IPSec VPN Tünel Kurulumu...................................................................101 Konfigürasyon Dosyasının Yedeklenmesi .........................................108 Kayıt ve Lisans İşlemleri........................................................................109 Vantage Raporlama Yazılımı.................................................................118 Switch Uygulamaları............................................................. 126 VLAN kullanılarak 2 switch nasıl bağlanır ?.........................................126 Bilgisayarlar VLAN kullanılarak birbirinden nasıl izole edilirler ve internete girmek için nasıl Router’a bağlanırlar ? .............................129 Layer 3 switch’de Subnet (Alt Ağlar) nasıl birbirinden ayrılır?......131 Layer 3 switch’te Port Mirroring (Port Aynalama) nasıl ayarlanır? ...........................................................................................................................133 Bir 802.1x environment (ortamı) nasıl ayarlanır ? ...........................134 Switch içindeki Port Security ve Static Mac Forwarding nasıl kullanılır? ........................................................................................................137 Switch de VLAN Trunking kullanarak iki switch’i nasıl bağlarım ? ...........................................................................................................................139 Switch de link aggregation nasıl kullanılır.? ......................................141 GVRP nasıl configure edilir ? ....................................................................142 Kablosuz (Wireless) Network’ler .......................................... 149 İçindekiler 4 Kablosuz Network Standartları................................................................151 Kablosuz Networklerin Kapsama Alanları.............................................152 Kapsama Alanının Genişletilmesi ............................................................153 Kablosuz Netowklerde Güvenlik..............................................................155 1. MAC Adres Filitrelemesi ....................................................................155 2. WEP Şifreleme (WEP Encryption) ..................................................155 3. 802.1x Authentication.......................................................................156 4. WPA-PSK / WPA2-PSK ......................................................................156 5. WPA / WPA2 .........................................................................................157 Kablosuz Network Konfigürasyon Örnekleri........................................158 Bir Kablosuz Network Oluşturmak......................................................158 Birden Çok Kablosuz Network Oluşturmak......................................161 Access Point’i Bridge Mode’da Çalıştırma.........................................162 Access Point’i Repeater Mode’da Çalıştırma....................................164 WPA-PSK / WPA2-PSK Şifreleme İşlemleri......................................165 RADIUS İle WPA / WPA2 şifreleme ....................................................166 ZyAIR G-570S Kurulum ve Konfigürasyonu........................................168 ZyAIR G-570S Access Point (Erişim Noktası ) için Web Konfigürasyonu.........................................................................................168 G-570S’in AP+Repeater modda ayarlanmasını..............................175 G-570S’in Bridge Modda Ayarlanması...............................................177 G-570S’in Client Modda Ayarlanması ................................................179 IP DSLAM ve Hot Spot Gateway’ler....................................... 182 IP DSLAM (Digital Subscriber Line Access Multiplexer) ..................182 Hot-Spot Gateway’ler .................................................................................183 Örnek DSLAM ve Hot-Spot Gateway Kullanım Senaryosu ve Konfigürasyonları .........................................................................................184 VSG-1200 v2 Konfigürasyonu .............................................................185 Yazıcıların VSG-1200 ile kullanılması ................................................192 ES-2108 Switch Konfigürasyonu.........................................................195 IES-1248-51A Konfigürasyonu............................................................199 Konfigürasyon Örnekleri....................................................... 205 Zyxel Adsl Router Temel Kurulumu .......................................................205 NAT Port Yönlendirme (Server Hosting)...............................................208 Zyxel 662HW Üzerinde IPSec VPN Tünel Kurulumu.........................213 Prestige 2002’nin SIP server’a kayıt edilmesi ....................................216 Prestige 2002’lerin SIP server olmadan birbirlerini araması .........221 P 2002’nin ayarlanması..........................................................................221 5 ZyXEL Partner Eğitimleri – Netron Technology - 2008 662HW’nin konfigurasyonu...................................................................226 İçindekiler 6 7 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Temel Network Kavramları Network’lerde Veri Aktarımı Temel olarak bir network (bilgisayar ağı), birden çok bilgisayarın birbiriyle iletişim kurabilecek şekilde birleşmesi olarak tanımlanabilir. Bu bilgisayarların arasında gidip gelen ve daha önce sanki birer soruymuş gibi aldığımız mesajlar, kullandığımız bilgisayar içerisinde pek çok evreden geçerek oluşturulan komutlardır. Bu komutlar pek çok evreden geçtikten sonra bir tür elektrik sinyaline dönüşür. Bu elektrik sinyalleri, bilgisayarlarınızı birbirine bağlayan kablolar yardımıyla aktarılır. Elbette, “Sendeki şu dosyaya erişebilir miyim?” gibi sorular, aslında bizim, iki bilgisayar arasında oluşan iletişimi anlatmak için kullandığımız model sorulardır. Temelde, arada gidip gelen sinyaller bu tür bir İçindekiler mantıkla çalışsa da, bilgisayarların bir biriyle konuşmak adına kullandığı şey, iletişim protokolleri, mesajları ve fonksiyonlardır. Bir işletim sistemi bizim daha önce “....şu kullanıcıya şu tip bir izin verebilirsin” şeklinde anlattığımız mesajları, birbirine bir protokol dahilinde, komutlar şeklinde iletirler. Komutlar, işletim sisteminin içindeki bir bölüm ya da bir servis tarafından alınarak değerlendirilmeye başlanır. Fakat bir bilgisayarın üzerinde çalışan bir işletim sistemi ya da yazılım, bir başka bilgisayarın üzerindeki bir işletim sistemine bu tür komutlar ve bu komutları takip eden bilgiler göndermek istediğinde, komutlar bir elektrik kablosundan geçecek kadar basit elektrik sinyallerine dönüştürülmelidir. Bu dönüştürme işlemi pek çok safhadan oluşur ve her safhada bir tür protokol izlenir. Bir protokol, herhangi bir verinin nasıl işleneceğini ve nasıl söyleneceğini anlatan kurallar bütünüdür. Örneğin, bir A protokolü herhangi bir komut karşı taraftaki bir makineye gönderileceği zaman, önce bu mesajın hangi bilgisayardan geldiğini daha sonrada nasıl bir komut olduğunu, sonra da komutun buyurduğu isteğin gönderilmesini sağlar. Aynı tipte bir komut göndermek için de B protokolü, önce mesajın ne tip bir mesaj olduğunu, daha sonra komutun yerine getirilmesi geren fonksiyonu en sonunda da bu komutun nereden geldiğini anlatan bilgiyi gönderiyor olabilir. Kısaca protokoller, izlenmesi gereken iletişim kuralları koyarlar. İnsanlar için diller ne ise, bilgisayarlar için de protokoller o demektir. 8 9 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Görüldüğü üzere, A ve B protokolleri, sadece basit bir komutu gönderirken dahi farklı yöntemlerin izlenmesini sağlayabiliyor. Bu nedenle iki bilgisayarın, bir biri ile anlaşabilmesi için her safhada benzer protokolleri anlıyor olması gerekmektedir. Aksi halde sadece A protokolünden anlayan bir bilgisayar B protokolünü kullanan diğer bilgisayarın gönderdiği verileri farklı şekilde ele almaya başlayacaktır. Bir bilgisayar ilk gönderilen veri paketinin, bu paketin nereden geldiğini söyleyen bir mesaj olduğunu zannederken, bu paketin içeriği aslında tamamen farklı olabilir. Bu durumda, veriler anlamsız olarak değerlendirilirler. Ve bir veri paketi anlamsız olarak değerlendirilirse, ya bu mesajın karşı taraftan tekrarlanması istenir ya da verilerin işlenmesi durdurulur. Haberleşme protokollerine örnek olarak TCP/IP, NetBEUI, IPX/SPX gibi protokolleri gösterebiliriz. İçindekiler Veri Paketleri Elektrik sinyalleri, kablolardan giderken temelde birer elektrik sinyali yığını halinde giderler. Bu yığınlar içerisinde gönderilen veriler bir komut ya da bir veri olabilir. Örneğin İnternet’ten bir dosyayı bilgisayarımıza indirirken, öncelikle bunun indirilmesi için gerekli pek çok komut gönderilir. Daha sonra ise bu komutların ardından istediğimiz dosya, veri parçaları halinde bilgisayara akmaya başlar. Sonuçta veriler kablolar üzerinde parça parça bölünerek iletilirler. Bu parçalar 0’lar ve 1’lerden oluşan temel elektrik sinyalleridir. Bu veri paketlerinin oluşturulması ise pek çok safhaya bölünmüş işlemler gerektirir. Bir dosyanın bir başka bilgisayardan kopyalanması için, iki bilgisayar arasında önceden pek çok iletişim paketinin gidip gelmesi gerekir. Bu durumun nedenlerini bölüm ilerledikçe tartışacağız. Önümüzdeki birkaç bölüm boyunca, bu safhaları ve neden böyle bir şeye ihtiyaç duyulduğunu tartışacağız. Yaptığımız bir tıklamanın bir veri sinyaline dönüşümü pek çok aşamadan geçer. Örneğin biz İnternet’te gördüğümüz bir Web sayfası üzerinde bir link’e tıkladığımızda, kullandığımız Internet Explorer ya da benzeri bir program bu link’in gösterdiği yere gitmek istediğimizi anlar. Bunun için işletim sistemine, gitmek istediğimiz adresin bulunması için talimatlar gönderir. Bu talimatlarda belirtilen adresin İnternet üzerinde fiziksel yerinin bulunması için bir başka mekanizma çalışır. Bu çalışan mekanizma adresin bulunması için kullanılacak komutları üretir. Bu komutlar daha sonra tartışacağımız, TCP/IP protokol yığınına göre düzenlenir. Ve sonra da modeminizden gönderilmek üzere, elektriksel sinyallere dönüştürülür. Tabi bu sırada elektrik sinyallerinin de fiziksel olarak gideceği adreslerin üretilmesi için pek çok işlem yapılır. Tüm bu işlemler safha safha ele alınarak incelenmiş ve her bir safha için protokoller oluşturulmuştur. Böylece bir safhada oluşturulan bir bilgi bir diğer safhaya iletildiğinde, safhadan safhaya devredilen bilgi her iki taraf tarafından da anlaşılabilir. 10 11 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Network Tipleri Önceki iki bölüm boyunca, sizlerle, çok temel anlamda, network’lerin nasıl çalıştığını tartıştık. Amaç, bir soru ya da verinin bir başka bilgisayara gönderilirken, çeşitli aşamalardan geçirilerek, elektrik sinyallerine dönüştüğünü anlatmak ve daha sonra da bu elektrik sinyallerinin, karşı tarafa kablolar yardımıyla aktarıldığını tasvir etmekti. Bu aşamalarda, uyulması gereken kurallar olduğunu söyledik. Daha sonra da, kablolar üzerinde giden elektrik sinyallerinin, küme küme gönderildiğini ve bunların her birine veri paketi denildiğini söylemiştik. Bu bölümde, network’lerin fiziki ya da kavramsal olarak nasıl kuruldukları ve çeşitleri konusunda tartışacağız. Bu tartışmadan sonra, tekrar veri paketleri ve elektrik sinyallerinin nasıl aşama aşama ele alındığı konusuna geri döneceğiz. Bir network’ün bileşenlerini anlamak ya da tasarlamak için karar verilmesi gereken ilk kriterle yani, network’ünüzün büyüklüğünü belirlemekle işe başlıyoruz. Network’ünüzdeki temel ağ cihazlarını tanımak, ne gibi özellikleri taşıyabileceği konusunda fikir sahibi olmak da bir gereklilik. Network Scope’ları Scope kelimesinin İngilizce sözlükteki anlamları arasında, anlam, kavranılması gereken geniş fikir, saha, alan gibi pek çok açıklama bulunuyor. Network scope’ları, network’lerinizin, büyüklük ve nasıl yönetildiği konusunda onları ayırt eden bir kriter. Bir network’ün scope’u onun kullanılacağı alan ve kullanıcı sayısı ile belirlenebilir. Network scope’u bir ağın nasıl dizayn edileceğinden, ne tür iletişim cihazları kullanılacağına kadar pek çok şeyi belirler. Network scope’ları ikiye ayrılırlar: Local Area Network (Yerel Ağ): Bir LAN (Local Area Network), birbirine yakın bilgisayarların oluşturduğu bir ağı anlatmakta kullanılır. Örneğin, bir ofis içindeki bilgisayarlar ya da bir bina içindeki bir bilgisayar ağı, bir LAN yani bir yerel ağ olarak algılanır. Yerel ağlar birkaç bilgisayardan bağlayıp, yüzlerce bilgisayarın olduğu bir network’e kadar büyüyebilirler. Ama burada anlattığımız bilgisayarların hemen hemen hepsi, birbirine çok yakın mesafelerle İçindekiler konumlandırılmış ya da çok hızlı network bağlantılarıyla birbirine bağlanmış birimlerdir. Wide Area Network (Geniş Ölçekli Ağ): Bir WAN (Wide Area Network), birbirinden uzak ve birbirine daha yavaş bağlantılarla bağlı bilgisayarların tanımlanmasında kullanılan bir kavramdır. İstanbul ve Ankara arasında kurulmuş bir network hattı aslında bir WAN olarak algılanmaktadır. Birbirinden çok uzakta olan iki bina arasında yer alan bir network, bir WAN olarak adlandırılabilir. Bu durum göreceli olarak ele alınır. 12 13 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Eğer çok hızlı ağ bağlantıları yapacak kadar paranız varsa, o takdirde pek çok kişinin kendi yerel ağlarında bile göremediği hızlara normalde WAN diyebileceğiniz ölçekteki bir network’de ulaşabilirsiniz. Kısaca WAN ve LAN kavramları oldukça esnek kavramlardır WAN ve LAN arasındaki farkı açıklamak için kimi zaman kullandığımız diğer bir kıstas da, operatörlerdir. Bir LAN genellikle, bir ofis ya da birkaç ofis arasında bir bina içerisinde bulunur. Oysa bir WAN olarak, İstanbul ve Ankara’daki iki ofisinizi birbirine bir bilgisayar ağı ile bağlamak istediğinizde, Türk Telekom ya da benzeri bir operatör firmadan arada kullanılacak hatlar alırsınız. Bu durumda araya ikinci bir operatör, yani sizin yönetimiz dışında bir başka yönetici kuruluş girer. Bu durumdaki network’lere WAN denilmektedir. Örneğin, İnternet’e bağlanırken, telefon hatlarını kullanırsınız. Bu durumda, arada, Türk Telekom’un aslında ses taşımak için kurduğu bir network’ten İçindekiler yararlanırsınız. Bu durumda bir WAN kullanıyorsunuz demektir. Kısaca bir ya da birkaç ağ parçası, aralarında iletişim kurmak istediğinde, farklı bir operatörün sunduğu bir hizmetten yararlanıyorsa, o takdirde bir WAN kullanıyor demektir. Bir WAN, birden çok LAN’dan meydana gelebilir. Biraz önce verdiğimiz örnekteki gibi, İstanbul’da yer alan ve 150 bilgisayardan oluşmuş bir LAN, yani yerel ağınızı, örneğin bir uydu bağlantısı ile Ankara’da yer alan 100 bilgisayardan oluşmuş bir başka yerel ağınıza, yani LAN’ınıza bağlayabilirsiniz. Temel Network Bileşenleri Bir network’ü oluşturmak için, olması gereken olmazsa olmaz tipte bileşenler, bu bölümün konusu olacak. Temel network bileşenleri, bir bilgisayarı basit de olsa bir ağa bağlamak için gerekli olan temel cihazlardır. Biz bu bölümde, sadece çok temel ve basit olan network arabirim kartları, network kabloları ve kablosuz iletişim cihazlarını ele alacağız. Oysa günümüzde, temel network cihazı olarak kullanılan ve bu saydığımız cihazlar arasında yer almayan cihazlar da bulunuyor. Bu cihazları başka bir bölümde ele alacağız. Network Adaptörleri Bir bilgisayarın, temel yapıdaki bir network’e bağlanması için gereklidir. Pek çok yerde Ethernet kartı ismiyle de anılsa, doğru ismi NIC (Network Interface Card – Network Adaptörü) şeklindedir. Microsoft, tüm sınavlarında, bu cihaza NIC ya da Network Interface Card olarak bahseder. Bu sebepten dolayı bundan böyle bizde NIC terimini kullanacağız. 14 15 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Network adaptörleri, elektrik sinyallerinin bir kabloya taşınmasını sağlar. Yani, ham hale getirilmiş verilerinizin, elektrik sinyallerine getirilmesinden ve veri paketlerinin, belki binlerce bilgisayarda oluşan bir ağ içinde, doğru network kartına gitmesinden sorumludur. Bu durumda, network kartlarının da pek çok görevi ve uyması gereken onlarca protokol olduğu sonucu çıkar. Bir network kartı, bilgisayarınızın genişleme yuvalarından (slot) birine takılır. Bu bir dizüstü bilgisayarda PCMCIA yuvası ya da bir masaüstü bilgisayarda bir PCI yuvası olabilir. USB ya da benzeri arabirimlere de takılan pek çok network adaptörü vardır. Kısaca network adaptörünün belirli bir şekli ve tipi yoktur. Bir bilgisayar üzerindeki, Windows’a benzer bir işletim sistemi, aktarılması gereken bilgileri, üzerinde taşıdığı herhangi bir network adaptörüne aktardığında, network adaptörünün ilk yaptığı iş bu verileri, veri paketlerine bölmektir. Veriler parçalara bölünür. Daha sonra bu verilerin başına ağ üzerinde hangi noktaya ulaşacağına ve nasıl taşınacağına dair veriler eklenir. Paketlerin başı ve sonuna “bu paketin başıdır” ve “bu veri paketinin sonudur” gibi etiketler eklenir. Bu işlem her bölünmüş veri paketi için yapılır ve sonuç olarak, bu veri paketleri sadece 1’ler ve 0’lardan oluşmaktadır. Veri paketleri, birbiri ardına yazılmış, milyonlarca 1 ve 0 içinde hayali olarak yaratılmış bölümlerdir. Her paketin başında header isimli ve bir önceki paragrafta belirttiğimize yakın bilgiler taşıyan bir kısım yer alır ve her header içinde de o veri paketinin nereye gideceği ve nereden geldiğine dair veriler yer alır. İçindekiler Bir NIC’ye yani network adaptörüne, onun almaması gereken milyonlarca veri paketi ulaşır. Network adaptörleri, bu paketlerin başındaki header kısmına bakarak, o paketin kendisi için gönderilmiş olup olmadığını anlarlar. Eğer paketin başında yer alan header kısmında, kendi adresi varsa, o paketi alır ve bilgisayarda değerlendirmek üzere işleme sokar. Her network kartı, üzerinde MAC adresi denen bir adres barındırır. Bu adres dünya üzerinde üretilen bir başka network adaptöründe aynı olamaz. Sadece o adaptöre ya da o network kartına aittir. MAC (Media Access Control – Ortam Erişim Kontrol) adresi, bir network’ün fiziksel yapısı içinde, veri paketlerinin nereye ulaşacağını söyler. Örnek olarak Ethernet teknolojisini kullanan ağlarda, bir veri paketi, bir bilgisayardan gönderildiğinde o veri paketinin header’ında, gönderen bilgisayarın ve gideceği bilgisayarın network adaptörünün MAC adresleri yazmaktadır. Her an, network adaptörlerinden binlerce veri paketi çıkar. Bazen her birkaç veri paketi artarda bir komutu ifade eder. Bazen de sadece tek bir veri paketi bir komut ya da bir sinyal anlamına gelir. Veri paketlerinin içinde, bizim birbirimize gönderdiğimiz dosyalar, resimler, gibi pek çok veri de taşınmaktadır. Yaklaşık 1 MB’lık bir verinin aktarılması için iki aynı LAN içinde yer alan bilgisayar arasında, yaklaşık olarak 8.000 ila 10.000 arasında veri paketi gider. Bir network adaptörü şu işleri yapar: Ona gönderilen işlenmiş ve gönderilmek için hazır veriyi, veri paketlerine çevirir. 16 17 ZyXEL Partner Eğitimleri – Netron Technology - 2008 İşletim sisteminin istediği yere, bu veri paketlerinin gitmesi için veri paketlerine header’lar ekler. Veri paketlerini alır ve gönderir. Ve bunların doğruluğunu kontrol eder. Bir network adaptörü, ona gelen veri paketi, bozuksa aynı paketin karşı bilgisayarın network adaptörü tarafından tekrar gönderilmesi için bir komut içeren veri paketi hazırlayıp gönderir. Network adaptörleri buna benzer pek çok iş yaparlar. Bu komutlar ve fonksiyonların hepsi, birer protokolle, nasıl yapılacağı belirlenmiştir. Bu gibi, network’deki işlemlerin en alt seviyesinde yer alan işlemlerle, çoğu zaman işletim sistemleri ilgilenmezler. Bu gibi işlemler doğrudan network adaptörü tarafından yürütülür. MAC Adresleri MAC adresleri her bir network adaptöründe ya da diğer yaygın ismiyle network kartlarında, tektir. Bu adres 48 bit uzunluğunda bir sayı olarak karşımıza çıkar. Network adaptörleri üzerinde yer alan bir çip içinde yer alırlar ve sadece o network adaptörüne verilmiş ve başka bir adaptör üzerinde bir eşi olmayan eşsiz (unique) sayılardır. Kısaca o adaptöre özeldirler. Bu sayılar 48 bit uzunluğundadır ve 12 karakterden oluşurlar. Binary (yani ikili) sayı sisteminden anlayan okurlar, 48 bit’lik bir sayının 12 karakterden oluşmayacağını zira her bir karakter için 8 bit gerekeceğini düşünecektir. Burada kullanılan ilkel ASCII karakter kodudur ve her bir karakter için 4 bit kullanılır. CSMA/CD CSMA, network adaptörlerinin birbiriyle konuşurken kullandığı bir tür önlem teknolojisidir. CSMA (Carrier Sense & Multiple Access) ve CD (Collision Detection – Çarpışma Tespiti), bir network adaptörüne giden veri paketi trafiğinde bir problem olduğunda bu trafiğin düzenlenmesini sağlayan Ethernet teknolojileridir. Bu teknolojiler, pek çok veri paketi trafiği sorununu ele alır. İçindekiler CS (Carrier Sense): Bir network kartı tek bir kablo üzerinde gidip gelen veriler varsa o hatta veri göndereceği zaman kablo üzerinde veri taşınıp taşınmadığını dinler ve eğer kabloda bir veri trafiği yoksa veri paketlerini yol çıkarır. Bu durum, tek bir kabloya birden çok adaptörün bağlı olduğu eski tip network teknolojileri için geliştirilmiştir. Tıpkı trafiğe çıkmak isteyen bir arabanın yolun boş olup olmadığını kontrol ettikten sonra, yola çıkması gibi, network adaptörleri de CS teknolojisi sayesinde, kablo boş olduğu takdirde veri gönderirler. MA (Multiple Access): Bir network kartına aynı anda birden çok veri paketi gönderilmişse, o takdirde o adaptör bunlardan hiçbirini almaz. Network’ün tümüne, “bana gönderdiğiniz veri paketleri aynı anda yola çıktığından dolayı tekrar gönderilmelidir” anlamına gelen bir mesajı broadcast eder. Bu mesajın 18 19 ZyXEL Partner Eğitimleri – Netron Technology - 2008 alınmasından itibaren, karşı network adaptörleri aynı veri paketini tekrar gönderir. CD (Collision Detection): Eğer karşılıklı iki network adaptörü, aynı anda iki veri paketini birbirine gönderirlerse, veri paketleri çarpışacaktır. Bu durumu tespit eden adaptörler, rasgele bir zaman dilimi kadar bir süre (milisaniyeler mertebesinde) tekrar aynı paketi network’e çıkarırlar. Bu sayede, çarpışan paket sinyallerinin, kablolar üzerinde yitirilip gitmesi engellenmiş olur. Bu çarpışmayı, tek şeritli ve sadece tek yön çalışan bir yolda, karşılıklı iki arabanın aynı anda yol almak istemesinden doğan kazaya benzetebiliriz. Sıradan bir kullanıcı, bir ofis ortamında bir network adaptörünü kullanırken, her saniye binlerce kez bu tür teknolojilerin kullanılmasının gerektiği durumlar kablolar üzerinde gerçekleşir. Tüm bu veri paketi trafiğine ait problemler, network adaptörlerinden, router’lara (ilerleyen kısımlarda okuyacağımız bir başka network cihazı) gibi pek çok network cihazı tarafından kontrol edilmektedir. Kablolar Bir network’ün oluşturulmasında veri taşımak için temel olarak kullanılan araç, kablolardır. Günümüzde hızla kablosuz iletişim yayılıyor da olsa, kablolar sağladıkları güvenilir iletişim ve hız nedeniyle tercih edilmektedirler. Temel olarak bir kablo iki bilgisayarı birbirine bağlamak için kullanılır ve bu temel yapıya segment ismi verilir. Farklı kablo çeşitleri network kartına takılabilir. Günümüzde pek çok standart olmasına rağmen, network’ler için kullanılan standartlar olanları arasında en yaygın olanlar şunlardır: Coaxial (koaksiyal) Twisted Pair Fiber-optik Koaksiyel Kablolar Koaksiyel kablolar, bugün neredeyse hiç kullanılmayan bir sınıftır. Koaksiyal kablolar, eski nesil network adaptörlerine BNC (British Naval Connector) isimli konnektörler yardımıyla takılırdı. Bu kabloların yapısı nedeniyle içinde taşınan sinyaller, kablonun sonuna ulaştığında bir tür yansıma etkisi ile geri dönmekte ve sanki aynı veriler ikinci kez gönderilmişçesine network’e ulaşmaktaydı. Bu durumu engellemek için BNC Terminator denilen ve kabloların bitim noktalarına takılan bir tür İçindekiler konnektör bulunuyordu. Bu konnektörlerin görevi, kablonun sonuna kadar ulaşan sinyalin yok edilmesini sağlamaktı. Halen, kimi ofislerde, uzun süreden beri kullanılan network’lerde, bu tip kablolara rastlamak mümkündür. İki temel çeşitleri bulunmaktadır. Bunlar: ThinNet (10Base2 standardı) ve ThickNet (10Base5 standardı) olarak karşımıza çıkar. Koaksiyal kabloların en büyük avantajı, diğer kablolara göre daha uzun mesafeye veriyi güvenle aktarabilmeleridir. Bir ThinNet kablo yaklaşık 185 metre, bir ThickNet kablo ise yaklaşık 500 metre mesafeye veriyi güvenle taşıyabilir. Twisted Pair Twisted Pair isimli kablo sınıfı ise bugün yaygın olarak kullanılmaktadır. RJ45 konnektörü ile kullanımı oldukça kolay bir kablo standardıdır. Twisted Pair kablolar yaygın olarak kullanılan ve Ethernet kabloları olarak da piyasada bulunabilen kablolardır. STP ve UTP olmak üzere iki çeşidi bulunuyor: STP (Shielded Twisted Pair – Yalıtılmış Twisted Pair), kablonun dış kısmında bir tür yalıtım maddesi taşır. Bu sayede dışarıdan gelebilecek ve taşınan 20 21 ZyXEL Partner Eğitimleri – Netron Technology - 2008 sinyalleri bozabilecek olan elektromanyetik dalgalardan en az şekilde etkilenir. Bu kablolar, 100 metre kadar bir mesafede veriyi güvenle taşıyabilir. Diğer yandan, UTP (Unshielded Twisted Pair – Yalıtılmamış Twisted Pair) kablolar, bu tip bir zırh ya da yalıtım taşımazlar. Bu sebeple veriyi güvenle iletebilecekleri mesafe 60 metreye düşmüştür. UTP tipi kablolar, Amerika’daki EIA/TIA’ya göre (Electronic Industries Association and the Telecommunication Industries Association – Elektronik ve İletişim Endüstrisi Birliği) beş kategoriye ayrılmıştır. Bu kategoriler arasında kabloda kullanılacak malzeme ve kalınlık itibariyle farklılıklar vardır. Ayrıca her kategorideki bakır kablo çiftinin sayısı da birbirini tutmaz. Category 1: UTP’nin telefon kablosu standardıdır. Yalnızca ses taşımak için kullanılır. İnternet halen bu basit kablolar üzerinde hayatını sürdürüyor. Category 2: Bu kategori 4 Mbps’lik (Megabyte/saniye) bir hızda veri iletebilir. Kablonun merkezinde iki çift iletken bakır tel vardır. Category 3: 10 Mbps’lik hızda veri taşıyabilir. Dört adet bakır telden oluşur. Category 4: 16 Mbps’lik hızda veri taşımaya yönelik yapılmıştır. Dört iletken telden oluşur. Category 5: 100 Mbps’lik bir hıza ulaşabilir. Oldukça esnek ve ucuzdur. Category 5e: 1000 Mbps’lik bir hıza ulaşabilir. Category 6: 1000 Mbps’lik bir hıza ulaşabilir. Oldukça kalitelidir. İçindekiler Bugün ofis ya da yerel ağlarda kullandığımız kabloların %90’ını Category 5 UTP kabloları oluşturur. Bir network’te farklı hızda konuşan network kartları (network adaptörleri) ve farklı hızda veri taşıyabilen kablolar kullanıldığında, iletişimin bozulma riski artar. Bunun iki sebebi vardır: Birincisi, uzayan kablo boyuyla zayıflayan elektrik sinyalleri, ikincisi de kullanılan kablo boyunca oluşabilecek elektromanyetik parazitlerin sinyali bozma olasılığıdır. Hıza bağlı olarak kullanılan sinyal ve protokollerin içeriği değişebilir. Örneğin sadece 10 Mbps’lik veri aktarımı yapabilen bir network kartı, 100 Mbps’lik veri aktarılan bir network’de yetersiz kalabilir ve uyumsuzluk sorunlarına neden olabilir. Fiber-Optik Kablolar Üçüncü tip kablo olan fiber-optik kablolar ise veriyi aktarmak için bakır teller ve elektrik sinyali kullanmazlar. Bu tip kabloda veriyi oluşturan 1 ve 0’lar, ışık sinyali olarak aktarılırlar. Sinyal, bir ışık demeti olarak iletildiğinden dolayı, veri elektromanyetik alanlardan etkilenmez ya da kablo boyunca zayıflamaz. Bu tip kablolarda oldukça uzun mesafelere, son derece yüksek hızla veri aktarımı yapmak mümkün hale gelmiştir. Bugün deneysel olarak saniyede 1 Terabit’lik veri hızlarına ulaşılabilmekte. Genelde bu tip kablolar çok fazla bükülmediklerinde ve ek yapılmadan yaklaşık 100 km’ye kadar veriyi güvenle taşıyabilirler. Avrupa network’lerini okyanus altından Amerika’ya bağlayan fiberoptik kabloları buna örnek olarak gösterebiliriz. OSI Referans Modeli 22 23 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Veriler küçük paketler halinde gönderilirken her paketin oluşturulması için yapılması gereken onlarca işlem vardır. Örneğin biz verilerimizin başkaları tarafından okunamamasını istiyorsak, paketleri içeriğini ancak bizim anlayabileceğimiz şekilde şifrelemiş olabiliriz. Bu türde bir paket bir network kablosundan, bilgisayarımıza ulaştığında, öncelikle ham elektrik sinyalleri olarak gelen verilerin bizim için gönderilip gönderilmediği kontrol edilecek, eğer ulaşan paket bize ait ise o takdirde verinin içeriğinin okunabilmesi için bu sefer de içindeki şifrenin çözülmesi gerekecektir. Bu sırada paketin içindeki bilginin hangi tip bir protokolle okunabileceğini belirlemek gerekir. Daha sonra şifre çözülecek ve bu veri paketinin o an çalışan hangi pakete gitmesi gerektiği gibi kararlar verilecektir. Bir veri paketi, network’ten bilgisayarımıza gelirken bile onlarca işlemden geçmesi gerekir. Bu işlemlerin hepsinin bir sırası vardır ve pek çoğunun yerine getirilmesi gereken yer farklıdır. Bir veri paketi bilgisayarımıza ulaştığı andan itibaren, ekranımızda bir veri olarak gözükünceye ya da bizim işlemlerimizi etkileyecek bir komut olduğu anlaşılıncaya kadar uzun bir yol kat eder. Örneğin bir veri paketinin elektriksel sinyalizasyonunun doğru olup olmadığı daha network kartında kontrol edilecektir. Ama bir veri paketinin, bize gelen bir e-postanın bir parçası olup olmadığı ya da bağlanmak istediğimiz bir Web sitesindeki bir resim dosyasının bir kısmı olup olmadığı, işletim sisteminin çeşitli kısımlarında karar verilen bir olgudur. Bu uzun yolculukta tahmin edebileceğiniz gibi, pek çok protokol görev alır. Bu protokollerin bir çalışma sırası ve her birinin özellikle rol oynadığı görevler bulunuyor. Örneğin birkaç protokol birlikte çalışarak bir veri paketini şifresini çözerken, bir başka seviyede veri paketlerinin hangi programa (Internet Explorer, Outlook, FTP programı vb.) ait olduğuna karar veriliyordur. Bu işlemler seviyelere ayrılmıştır. Örneğin bir veri paketinin (şifrelenmişse) şifresi çözüldükten sonra, nereden geldiğinin bulunması ya da başka bir işlem için bir başka bileşene verilmesi öngörülmüştür. Birbiri ardına sürdürülen bu işlemler sırasında uyulması gereken kuralları ortaya koymak ve veri paketlerinin kablodan bilgisayarımıza ulaşmasını marka ve sistem bağımsız bir hale getirerek, herkese açık bir haberleşme altyapısı kurabilmek için hazırlanmış kurallara OSI referans modeli denir. Bu modelin amacı, her üreticinin ürettiği network kartından hub’a, router’a, Windows’tan Unix’e, Macintosh’a tüm cihaz, sistem ve yazılımların ortak kurallar kullanarak İçindekiler network üzerinden haberleşmelerini sağlamaktır. Böylece şu anda kullandığımız İnternet network’ü gibi her sisteme, markaya açık network’ler geliştirilebilir.Bunu dünyanın her yanında aynı olan trafik kurallarına ya da bir ara tüm dünyadaki insanların birbiriyle rahatça konuşulması için geliştirilmiş ama kullanım alanı bulamamış Esperanto dili projesine benzetebiliriz. OSI modeli, 1984 yılında ISO (International Standards Organization – Uluslararası Standartlar Organizasyonu) tarafından oluşturulmuş bir modeldir. Hangi network protokolünün hangi kurallara bağlı olarak çalışacağının kurallarını koymak için, iki network bileşeni arasında yapılan bilgisayar haberleşmesini, sanal olarak her birinde farklı görevler tanımlanan ve sırayla her bileşenin kendi görevini yerine getirdiğinde bir haberleşme doğuran 7 seviyeli (katmanlı) bir çalışma sekline benzetir. Böylece OSI (Open Systems Interconnection) referans modeli, sistemlerin farklı protokollerle konuşsalar bile birbirlerinden haberdar olmalarını ve verilerinden anlamalarını sağlar. OSI ve Çalışma Prensibi Daha önce OSI katmanlarının var olduğunu ve her katmanda bir kısım farklı işler yapıldığını söylemiştik. Her katman, verinin bir üst ya da alt katmanda ele alınabilecek hale getirilmesi sağlanır. Bu veriler bilgisayara ulaştıkça, her 24 25 ZyXEL Partner Eğitimleri – Netron Technology - 2008 katmanda işlem görerek bir üst katmana çıkarılırlar. Üst katmanda da, veri paketinin taşıdığı veriler ve bilgiler değerlendirilmeye devam edilir. Aynı durum bir veri network’e gönderilecekse de olur. Örneğin bir arkadaşınıza göndereceğini e-posta mesajı, önce en üst seviyede bir e-posta olarak biçimlenir. Daha sonra SMTP protokolleri içerisinde hangi e-posta adresine gideceğine dair bilgi, içindeki metin ya da eklediğiniz bir dosyaya ait şekilformat bilgisi, önem ve e-postanın açılacağı yerde uyulacak protokollerin ne olacağına dair bilgiler yazılır. Ve bir alt seviyeye geçirilir. Bu seviyede, veri hangi yolla gönderileceği, ya da hangi protokolle işleneceği gibi konulara karar verilir. Bu şekilde katmanlar arasında ilerleyerek, göndereceğiniz bilgi ham veriye, yani 1’ler ve 0’lar haline dönüştürülür. OSI referans modeli, 7 katmandan oluşmaktadır. Uzun süreden beri katman (layer) şeklinde tabir ettiğimiz bu modelin nerede ya da nasıl var olduğunu merak edebilirsiniz. OSI modeli, tamamen kavramsal bir yapıdır. Örneğin 1. katmanda yapılan işlemlerin bir kısmı network kartında, diğer bir kısmı da işletim sisteminizin bir kısmında yürütülüyor olabilir. Ya da başka bir katmandaki işlerin tamamı, işletim sisteminizde çalışan bir program tarafından yürütülüyor olabilir. Sonuçta OSI kavramsal bir şablondur. Bir verinin nasıl ele İçindekiler alınacağını ve bu işlemlerin sırasını belirler. İşlem sırasında hangi protokolün nerede görev alacağını da tanımlar. Aynı anda bir veri üzerinde onlarca protokolün gerektirdiği işlemlerin yapıldığını düşünün. Böyle bir düzensizlikte, oluşacak karışıklığın içinden çıkmak çok zor olurdu. OSI katmanlarının her birinin farklı bir ya da birkaç noktada olabileceğini söylemiş ve bu konuda bazı örnekler vermiş olduk. OSI katmanlarının her biri sadece protokollerin nelere müdahale edeceğini söyleyen ve protokol yapılarını gösteren bir modeldir. Bu katmanların neler olduğu anlaşıldıkça OSI modelini daha iyi kavrayabiliriz. 26 27 ZyXEL Partner Eğitimleri – Netron Technology - 2008 OSI Katmanları OSI katmanlarını anlatmaya en üst seviyeden, Katman 7’den başlayacağız. Bu seviyede günlük olarak kullandığımız, Outlook, MSN Messenger ya da Internet Explorer gibi yazılımlar olabileceği gibi, bir DHCP (Dynamic Host Configuration Protocol) Server ya da RRAS (Routing and Remote Access Service) Server gibi hizmetler ya da yazılımlar da çalışıyor olabilir. Katmanların içeriği anlatılırken, bir verinin bu yazılımlardan birinden network kablosuna gitmek için ne tür işlemlerden geçmesinin gerektiğine dair işlemlerin anlatıldığını unutmamaya çalışın. Bu şekilde, çok daha kolay bir şekilde OSI modelini kavramaya yaklaşacaksınız. Uygulama Katmanı – Katman 7 (Application Layer - Layer 7): En üstteki katmandır. Bu katman kullanıcıların kullandığı yazılımlar için, ağa ulaşmak adına ilk servisleri sağlar. Ağ üzerinde kullanacağınız bir muhasebe yazılımı, ilk önce bu katmana ulaşmalıdır (yani yazılımların bu katmandaki işleri yapan bileşenlerine ulaşarak isteğini bildirmelidir). Örneğin e-posta, dosya transferi ve veritabanı kullanımı bu katmandaki servisler ve uygulamalarla olur. İçindekiler Sunum Katmanı – Katman 6 (Presentation Layer – Layer 6): Diğer bilgisayarla alınıp verilecek olan verinin formatı üzerinde karar verir. Bu seviye, her tür bilgisayarda uygulama katmanından gelen bilgileri ortak anlaşılan bir dile çevirir. Sunum katmanı, protokollerin birbirine çevrilmesi, karakterlerin ortak karakter diline (ASCII) çevrilmesi, grafik komutlarının çalıştırılmasından sorumludur. Bu katman, ayrıca verilerin sıkıştırılmasından da sorumlu katmandır. Genelde, bu katmanda kullanılan sıkıştırma metotlarının çoğu Hoffman kodlama sistemine dayanır. Oturum Katmanı – Katman 5 (Session Layer – Layer 5): Bu katman iletim işleminin başlatılıp, bitirilmesi için gerekli sinyalleri üretir. Örneğin siz bir eposta göndermek istediğinizde, veri katman 7’den katman 6’ya geçer ve burada gönderileceği protokole uygun hale getirilir. Fakat gönderme işlemi ancak bu veri katman 5’e geldiğinde, katman 5’in çalışmasından sonra başlar. Gelen veriyle birlikte, katman bir iletişim kurmak için ilk sinyalleri göndermeye başlar. Bu nedenle bu katmana, hukuk davalarındaki oturum (session) tabiriyle aynı isim verilmiştir. Bu katman, iletişimin senkronizasyonundan da sorumludur. İletim Katmanı – Katman 4 (Transport Layer – Layer 4): İletim katmanı, oturum katmanının altında fazladan bir bağlantı katmanı sağlar. İletim katmanı, veri paketlerinin hatasız gönderilmesinden sorumludur. Bu katmanda gönderilen son paketler bir tamponda (önbellekte) tutulur. Eğer veri paketi doğru şekilde yerine ulaşmamışsa, aynı paket birkaç kez daha gönderilir. Aynı şekilde, bu katman karşı bilgisayardan aldığı verileri doğru almışsa, karşı bilgisayara onay sinyali göndermekle sorumludur. Onay sinyalini alan karşı ağ bilgisayarı, sıradaki veriyi göndermeye başlayabilir. Ağ Katmanı – Katman 3 (Network Layer – Layer 3): İletim katmanından gelen verilerin doğru adreslere gitmesi için gerekli adreslerin ayarlanmasında ve ağdaki trafiğin minimumda tutulacağı şekilde verilerin gönderilmesinden sorumludur. Bu katman, veri paketine nereye gitmesinin gerektiğini gösteren etiketler ekler. Bu etiketler, tabii ki 1 ve 0’lar şeklindedir (bu veri paketlerinin yapısını ve etiketlerin veri paketlerine eklenmesi konusunu daha sonra inceleyeceğiz). Veri Bağlantı Katmanı – Katman 2 (Data Link Layer – Layer 2): Bu katman, veri paketlerini katman 3’ten katman 1’e iletir. İletirken, veri paketlerine boş bit’ler, 1 ve 0’lar ekler. Bu sayede, bu veriler belli bir standart uzunluğa ulaşmış olurlar. Örneğin katman 3’den gelen veri paketleri 8 ya da 28 29 ZyXEL Partner Eğitimleri – Netron Technology - 2008 40 bit arasında uzunluğa sahiptir. Katman 2 bunları 64 bit’e ya da belli bir uzunluğa tamamlar. Ayrıca bu katman iletilen ve alınan veri paketlerinin doğru bir şekilde inşa edilip edilmediğini kontrol eder. Bir hata bulduğunda düzeltir ya da verinin tekrar gönderilmesini ister. Fiziksel Katman – Katman 1 (Physical Layer – Layer 1): Bu katman, ağ kablolarının ve ağ kartlarının verilerini elektrik sinyallerine çevirmek için kullanılan bileşenleri temsil eder. Yani, bu katmanda yer alan cihaz ve programlar, yalnızca verilerin üst katmanlarda hazırlanmış ham veriyi (0 ve 1’ler), elektrik sinyali olarak göndermekle sorumludur. Eğer gerilim veya akımda bir problem olursa ya da kablo yerinden çıkmışsa, veri aktarımını durdurur. Her elektrik sinyalinin ne kadar süre ya da verilerin hangi veri aktarım teknolojisiyle aktarılacağını belirler. Bu seviye ise kamyonun üzerinde gittiği yol olarak düşünülebilir. Nasıl karayolu üzerinde trafik kuralları varsa, bu seviyede de iletişimin nasıl sağlanacağına ilişkin kurallar bulunmaktadır. OSI modeli, verinin paketlenmesi, gönderilmesi ve alınması için belirgin katmanlar oluşturmuş olur. Bir katmanda birbirine benzeyen ya da ilişkili protokollerin birlikte yer aldığını söylemiştik. Her katmanda yer alan, katmana göre özelleşmiş protokoller protokol yığını (protocol stack) adını alırlar. Bu noktada önemli olan husus, bazı protokol yığınlarının artık standart olarak kabul edilmesidir. Örneğin, TCP/IP, IPX/SPX ya da AppleTalk gibi daha önce de isimlerinden bahis ettiğimiz protokol yığınları, bu tip bir yapı içinde standart haline gelmiş yığınlardır. Her katmanda bu protokol yığınlarının bir kısmı çalışır. İçindekiler Network’ü Genişletmek Şu ana kadar ağımızı oluşturan bileşenlerin temel bazı donanım standartlarından çıktığını gördük. Sizlerle temel network bileşenleri altında tartıştığımız, network kartları ya da Coaxial-Twisted Pair kablolar gibi yapıların aslında büyük bir standartlar topluluğu olan Ethernet’in bir parçası olduğunu da aktarmaya çalıştık. Bu parçaları, Ethernet standardını tanıtmadan önce tartışmamızın nedeni ise bir network’ü oluşturan temel donanımlar hakkında bir fikir vermekti. “Network’ü Genişletmek” başlıklı bu kısım altında ise, network’lerin daha geniş boyutlarda var edilebilmelerini sağlayan ATM, bir kısım Ethernet ve benzeri teknolojilerde kullanılan diğer donanımları anlatacağız. Örneğin, bu bölümün ilerleyen kısımlarında daha da geniş olarak tartışacağımız, switch isimli cihaz, ATM, Token Ring, Ethernet gibi veri aktarım teknolojilerinin hepsinde kullanılmaktadır. Bir ATM network’ü için kullandığımız bir switch’i bir Ethernet network’ü için kullanılamaz; fakat her iki tipteki veri aktarım teknolojisinde de bu cihazların 30 31 ZyXEL Partner Eğitimleri – Netron Technology - 2008 yerine getirdiği görev aynıdır. Her iki veri aktarım teknolojisi için aynı görevi yerine getirirler. Bu nedenle de bu cihazlara genel bir isim verilerek, switch başlığı altında incelenecektir. Bu durumda burada anlatılan cihazların, network kartı ya da anlattığımız kablolar standartları gibi, tek bir standardın (Ethernet’in) içinde yer almadığına dikkat çekmek istiyoruz. Aksine, hub, switch ya da benzeri cihazların hepsi ATM, Ethernet, FDDI ya da Token Ring gibi standartların en az ikisinde kullanılmaktadır. Şu ana kadar bu bölümün içinde ağırlıklı olarak bir network’ün fiziksel yapısını, fiziksel yapı içinde donanımların nasıl ele alındığını aktarmaya çalışıyoruz. Bundan sonraki bölüm içerisinde, bu donanım teknolojileri üzerinde gidip gelen verilerin düzenlenmesi ve verilerin biçimlendirilmesini sağlayan yazılımsal kısmına bakacağız. Ancak, bundan sonraki bölümlerde ele alacağımız yazılımsal özelliklerin de, kimi zaman, bu tip temel teknolojilere göre biçimlendirildiğini işleyeceğiz. Örneğin bir router’ın bir TCP/IP protokolü içinde oldukça farklı bir görevi bulunur ve TCP/IP üzerinde router’lara göre ayarlamalar yapılması gerekebilir. Diğer yandan hub gibi bir cihaz için herhangi bir protokolde bu tür bir ayar gerekmemektedir. Bu tür küçük ama can alıcı detayların farkında olarak ilerleyen bölümleri okumanız, azami faydayı sağlayacaktır. Bu kısımda şu konuları inceleyeceğiz: Aktif ve pasif hub’lar Switch’ler Router’lar Gateway Hub’lar Hub’lar birden fazla bilgisayarın birbirine bağlamanın en ucuz yollarından biridir. Hub merkezde yer alan bir cihazdır ve Star topolojisini oluşturan merkezi bir cihaz olarak kullanılır. Hub’ların görevleri, onlara iletilen bir veri paketini, ona bağlı diğer tüm cihazlara iletmektir. Kısaca ona bağlı olan bir bilgisayar, hub üzerinde yer alan bir başka bilgisayara herhangi bir veri göndermek istediğinden, bu veri diğer bilgisayarların tümüne gönderilmekte- İçindekiler dir. Bugün Hub’lar 4-8-16-32 port’lu olarak yaygın olarak bulunup satın alınabilir. Her bir port’una bir bilgisayardan gelen bir kablo ya da başka bir cihaza (bir başka hub ya da switch gibi) giden bir kablo bağlamak mümkündür. Hub’ların iki farklı tipi bulunmaktadır. Bunlar pasif ve aktif hub’lar olarak adlandırılırlar. Aktif hub’lar onlara gönderilen veri sinyallerini, güçlendirirler. Zira kablo boyunca, yol alan veri sinyalleri, kabloların direnç göstermesi nedeniyle zayıflarlar. Daha önce de belirtildiği üzere, normalde bu işlemi yapan cihazlara repeater ismi verilmektedir. Ama bugün piyasada satılan hub ya da switch’lerin hemen hemen hepsi, repeater özelliğine sahiptir. Repeater’ların günümüz network’lerinde kilometrelerce öteye veri taşındığı takdirde kullanılması daha rağbet gören bir seçimdir. Pasif hub’lar ise, aktif hub’ların aksine herhangi bir güçlendirme (amplifikasyon) işlemi yapmaz. 10/100/1000 Mbps’lik hub’lar piyasada bulunabilmektedir ve üzerlerindeki esnek kablolama seçenekleri nedeniyle küçük network’lerin kurulması sırasında oldukça rağbet edilen cihazlardır. Hub’ların en büyük dezavantajı ise performans konusunda eksikliğe sahip olmalarıdır. Zira bir hub’a gelen bir veri sadece, A bilgisayarından B bilgisayarına gidecekken, bu veri paketi tüm bilgisayarlara gönderilir. Bu nedenle de o anda diğer bağlı bilgisayarlar onlara ait olmayan bir paketle uğraşmak zorunda kalırlar. Ve de kendilerine ait olan veriyolu boş yere meşgul edilmiş olur. Aynı zamanda Hub’lı ortamlar çarpışmaların (Collision) olduğu bir ortamdır. Aynı anda ortamdaki bilgisayarlardan iki ya da daha fazlası bir bilgi göndermeye çalışırsa paketler çarpışır ve bozulurlar. 32 33 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Switch Switch’ler, hub’lara benzer bir görev yapmalarına rağmen çok daha yüksek bir performans sağlarlar. Switch’ler, bir topolojinin merkezinde yer alırlar ve onlara gönderilen verileri, bağlı olan bilgisayarlardan birini gönderirler. Switch’lerin hub’larla farkı ise, switch’lerin veri paketlerini, ona bağlı olan iki bilgisayar arasında doğrudan iletebilmesidir. Hub’lar, swicth’lerin aksine A bilgisayarından B bilgisayarına gidecek olan veri paketini, tüm bilgisayarlara gönderirken, switch’ler A bilgisayarından B bilgisayarına doğrudan paketi taşır. Hub’lara bağlı olan bilgisayarlardaki network kartları, onlara ulaşan bu veri paketlerine bakıp, onlara mı gönderildiğini tespit etmek zorundadır. Bunu yapabilmek için paketlerin başında yer alan kartların fiziksel adreslerine bakarlar. Örneğin, A bilgisayarının MAC adresi bellidir ve ona gönderilmiş olan tüm veri paketlerinin header kısmında A bilgisayarının MAC adresi, paketin ulaşacağı adres olarak belirtilmiştir. Eğer bir network kartı bu tip bir paketi aldığında, kendi adresinin paketin ulaştırılması gereken yerdeki MAC adresiyle aynı olmadığını fark ederse, paketi yok eder. Bu işleme drop etme de denilmektedir. İçindekiler Switch’ler ise veri paketlerinin başında yer alan kısımlara bakarak, onları ulaşmaları gereken bilgisayarın bağlı bulunduğu port’a gönderir. Elbette bunu yapabilmesi için hangi port’ta hangi bilgisayarın bağlı olduğunu bilmesi gerekir. Örneğin A bilgisayarı 16. port’ta ise ve bunun MAC adresi biliniyorsa, gelen bu MAC adresine gelen veri paketi doğrudan 16. port’a gönderilir. Switch içinde, hangi port’ta hangi MAC adresine sahip bilgisayarın bulunduğunu belirten bir tablo, switch içindeki çiplerde tutulmaktadır. Fakat bir switch ilk kez çalıştırıldığında, hangi port’unda hangi MAC adresini taşıyan bilgisayarın bulunduğunu bilemez. Switch, bir süre hub gibi çalışarak bir tür öğrenme sürecine girer. Bir bilgisayardan gelen paketi diğer tüm bilgisayarlara (sadece ilk anda) gönderir. Örneğin MAC adresi Y olan bir bilgisayara gitmesi gereken bir veri paketi tüm port’lara gönderilir. Bu durumda hangi port’tan bu paketin alındığına dair bir mesaj geliyorsa, bu port’un MAC Y adresine sahip olan bilgisayara ait olduğu anlaşılır. Bu bilgi switch içindeki çiplerde tutulmaya başlanır. Yavaş yavaş hangi port’ta hangi bilgisayarın olduğu ve bu bilgisayarların üzerindeki network kartlarının MAC adresleri listelenmiş olur. Switch’in ilk anda yaptığı bu işleme flood adı verilmektedir. En fazla birkaç saniye süren flood sürecinden sonra, switch veri paketlerini doğrudan gitmeleri gereken yere gönderir. Bu nedenle de switch’ler network üzerindeki veri aktarım performansı açısından, hub’lardan daha iyidir. 34 35 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Switch’ler ve hub’lar elbette kullanıldıkları veri aktarım teknolojisine göre (ATM, Token Ring, vb.) bu fonksiyonları farklı şekilde yerine getirebilirler. Fakat, temelde switch’ler ve hub’lar star topolojisinin merkezinde duran cihazlardır. Router Günümüzde router’ları tanımlamak oldukça zor bir iş. Zira kimi router’lar sadece veri paketlerine değil, bir video konferans aktarıma bile karışıp, video konferansa ait gidip gelen verileri düzenleyecek yeteneklere sahiptir. Kısaca router’lar, günümüzde basit bir switch gibi çalışabildiği gibi, bir bilgisayarın müdahale edemeyeceği kadar gelişmiş görevleri de yerine getirebilirler. Router’ların temel görevi ise farklı network segmentleri arasında, veriyi taşımaktır. Bir router, üzerinde taşıdığı routing table denilen bir tablo sayesinde, bağlı olduğu herhangi bir segment üzerindeki tüm adresleri bilir. Router’ın bir tarafında bir ATM WAN’ı ve diğer bir tarafında da bir ofis içi Ethernet LAN’ı olabilir. Kısaca router iki farklı network yapısını ya da iki farklı network segmentini birleştirmek için kullanılır. Router’lar network performansını maksimum düzeye çıkarırlar. Bir network’ten bir başka tip network’e hangi verilerin gidip hangilerinin gitmeyeceğine karar verirler. Örneğin bir router, ofis içinde kurduğunuz bir network’teki boş veri paketlerinin Token Ring ya da ATM gibi bir WAN network’üne çıkmasını engeller. Bir router, bir veri paketinin gitmesi gereken en kısa yoldan gitmesini sağlar. Zira üzerinde bulunan routing tablosu en kısa yolun çizilmesi için İçindekiler kullanılabilir. Aynı tabloya hangi tip paketlerin bir network segmentinden bir diğerine geçirileceği gibi bilgiler de taşımaktadır. Router’lar sadece üzerlerinde tam bir adres olan veri paketlerinin iletilmesini sağlar. Bazı durumlarda paketin tüm network’teki bilgisayarlara ulaşması için, bilgisayarlar, header’ında bir adres olmayan veri paketleri atarlar. Bu tip veri paketlerinin kısıtlı bir bant genişliğine sahip WAN’a çıkması, router tarafından engellenir. Router’lar, farklı veri aktarım teknolojisi kullanan network’leri (ATM, Ethernet, gibi..) birleştirebilirler. Kısaca router’lar üzerlerindeki routing tablosu sayesinde bir network trafiğini düzenlerler. Router’ların asıl görevi farklı network segment’lerini birbiriyle buluşturmaktır. Bu noktada segment kavramına biraz daha açıklık getirelim. Bir sonraki bölümde göreceğimiz ve bugün dünyanın en yaygın protokolü olan TCP/IP’de aynı tipte IP adresleri kullanıp, farklı subnet’lerde olan iki network bulunabilir. 36 37 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Buna şöyle bir örnek verelim: Farklı iki ilçede bulunan ama aynı isimli iki sokak düşünün. Her iki sokağın isimleri örneğimizde aynı IP adresini (MAC adresi değil) belirtsin. Farklı iki ilçe ise farklı iki subnet olarak kabul edelim. TCP/IP içerisinde, bir bilgisayarın binlerce bilgisayar arasında nerede olduğunu göstermek için bir IP adresine bir de subnet’e ihtiyaç duymaktayız. Tıpkı koca bir şehir içinde bir sokağı tarif ederken kullandığımız ilçe ve sokak ismi gibi. Bu noktada dikkat etmemiz gereken nokta, aynı anda aynı isme sahip olan iki IP adresinin, farklı iki subnet’te bulunması nedeniyle karıştırılmamasıdır. Fakat sadece swicth ve hub’lardan oluşan iki farklı subnet’e sahip network birbiriyle konuşamaz diğer bir deyişle problemler oluşmaya başlar. Bu problemlerin ne olduğunu daha sonraki bölümde geniş bir biçimde ele alacağız. Bunun engellenmesi için iki network subnet’i arasında bir router konulur. Ve router, yine üzerindeki tabloyu ve ayarları takip ederek, bir subnet’ten diğer subnet’e hangi veri paketlerinin geçirilmesi gerektiğini ayırt eder. Tüm İnternet’in alt yapısı bu şekilde çalışmaktadır. İnternet onlarca subnet’ten oluşur ve bu subnet’lerin içinde binlerce bilgisayar bulunur. İnternet’i büyük bir ülke gibi düşünürsek; İnternet’teki her bir subnet sınıfı bir şehri; her subnet sınıfı içindeki değişik subnet’ler ilçeleri; her subnet içindeki IP adresleri de sokak ya da caddeleri belirttiğini düşünebiliriz. Bu sınıflar ve lokasyonlar hiyerarşisi altındaki ayırım router’lar sayesinde İçindekiler yapılmaktadır. Bu sebeple bir router’lar pek çok farklı görev ya da ayar taşıyor olabilir. Bu noktada TCP/IP protokolünden bahsetmiş olmamızın nedeni ise İnternet’in temel protokolünün TCP/IP oluşudur. Gateway Gateway’ler, router’ların yaptığı ve farklı teknolojiler arasında gidip gelen veri paketlerinin dönüştürülmesi işlemini gerçekleştirirler. Router’ların ana görevi farklı segmentteki network’leri ayırmak ve yönetmektir. Ama “Router” başlığı altında da değindiğimiz gibi, bazı router’lar bu temel görev tanımını aşarak, ATM ve Ethernet arasında verileri dönüştürme işlemini de gerçekleştirebilir. Fakat esas olarak bu görev gateway denilen cihazlara verilmiştir. Gateway, genellikle adanmış bir aygıt veya adanmış bir bilgisayar üzerinde çalışan bir grup servistir. Gateway’ler örneğin FDDI network’ünden gelen paketleri alır, gidecekleri bilgisayarın adres bilgisini koruyarak, Ethernet network’ünde yol alabilecek şekilde yeniden oluşturur ve bunu bir Ethernet network’üne gönderebilir. Bu işlem çok basit gibi gözükse de, iki network’de kullanılan paket yapıları, adresler ve adres yolları çok iyi bilinmek zorundadır. Gateway’ler bu işlem için özelleştirilmiş cihazlardır. Bu sebeple de bu fonksiyon için router’lara göre bir sınıf üstün sayılırlar. Zira router’ların asıl görevleri arasında farklı aktarım teknolojilerini birleştirmek hedeflenmez. Eğer aktarım teknolojisi açısından mimari bir farklılık varsa ve farklı fiziksel protokoller kullanılıyorsa, Gateway’ler kullanılmalıdır. 38 39 ZyXEL Partner Eğitimleri – Netron Technology - 2008 IP ADRESLEME IP Adreslemenin Amacı IP protokolü, TCP/IP network’lerinde bilgisayarların birbiriyle iletişimi sürdürebilmek için kullandığı bir protokoldür. Pek çok kaynakta IP protokolü, TCP/IP protokolünün postacısı şeklinde tanımlanmıştır. IP protokolü network üzerinde paketlerin hangi host’a gideceğini belirtir. Bu, IP adreslemenin network katmanlarında (bu durumu açıklamak için ister OSI katmanını kullanalım; ister TCP/IP modelini) MAC adresleme ve ARP protokolüne göre daha sonra yer alan bir yapıya sahiptir. ARP protokolü ile belirlenen MAC adreslerinin üzerine IP adreslerinin eşlendiğini daha önce belirtmiştik. Bu yolla, “...X MAC adresine sahip bilgisayar üzerinde A, B, C,... gibi IP adresleri olsun” şeklinde bir tanımlama yapılabilir. Bu noktada IP adreslerinin bir tür kavramsal adresleme sağladığını anlayabilirsiniz. Daha önceki konuda IP adreslerinin değiştirilebildiğini ama MAC adreslerinin donanıma elektronik olarak kaydedilmiş olması sebebiyle, ancak network adaptörü o bilgisayardan çıkartıldığında değiştirilebildiğine değinmiştik. Bu noktada şöyle bir soru gündeme oturabilir: MAC adresleri varken IP adreslerine neden ihtiyaç duyuluyor? IP adreslemenin, bir network’te ve bir bilgisayar için birden fazla görevi vardır. Bir bilgisayarı bir network’ten alıp bir başka network’e taşıdığınızda MAC adresi sabit kalsa bile IP adresi değişecektir. Böyle bir değişim olduğunda, sadece MAC adresleri ile haberleşiyor olsaydık, yeni bir network kartı satın almak zorunda kalacaktık. Diğer yandan birazdan ele alacağımız network’ü segmentlere bölme işi, ancak IP adresleme yoluyla mümkün olabilir. IP adresleme ile yapılan network’ü bölümlere (segmentlere) ayırma işi, network’ün yönetilmesi ve trafiğin düzenlenmesi konusunda büyük bir avantaj sağlar. Milyonlarca bilgisayarın üzerinde bulunduğu İnternet’te, sadece daha önceki bölümde anlattığımız ARP Broadcast paketlerini kullanarak haberleşmenin doğuracağı trafik yükünün ne kadar büyük olacağını tahmin edebilirsiniz. Bir network’ü segmentlere ayırarak, bu network’ler arasında broadcast işlemini en aza indirmeyi hedeflemekteyiz. Zira, uzak mesafeleri birbirine bağlarken İçindekiler kullandığımız network hatları oldukça dar bir veri taşıma kapasitesine sahip ve oldukça pahalıdır. Bu hatlara (örneğin İnternet’in omurgasını oluşturan ve kıtalararası İnternet bağlantılarını sağlayan hatları düşünün) ne kadar az broadcast paketi çıkarsa, hatların verimi o denli artacaktır. Bu ilişkiyi, sabit ve değişmeyen ev adresleri ile, içinde yaşayan ve değişen kiracı isimlerine benzetebiliriz. Kiracılar değişir ama mektuplar hep gider, çünkü posta teşkilatı değişen kiracı isimlerine bakarak gönderi teslimatı yapmaz, ev adreslerine bakarak gönderi teslimatı yapar. TCP/IP bu gibi avantajları sağlayabildiği için, büyük ölçekli ağlarda (WAN) bir tercih sebebi olmuştur. IP adresleme de IP’nin bir görevi de bir veri paketinin sonsuza dek network üzerinde kalmamasını sağlamaktır. IP paketlerinin içinde TTL (Time To Live – Kullanım Süresi) şeklinde tanımlanmış bir süre de yer almaktadır. Bu süre aşıldığında paket artık network üzerindeki cihazlar tarafından ele alınmaz ve bu süreyi aştığı andan itibaren bir network kartına ya da switch, router gibi bir cihaza ulaşırsa yok edilir. IP ile multicasting ismini verdiğimiz ve aynı anda belli sayıda birden fazla hedefe gidecek olan paketler göndermek de mümkündür. Oysa sadece MAC adreslerinin kullanıldığı bir network’te bunun yapılması imkânsızdır. Multicast işlemi için IP adresleme içinde özel pek çok teknoloji geliştirilmiş ve tanımlanmıştır. IP multicasting işlemi için, dinlemekte olan multicast gurubuna tek bir IP adresi belirlemek mümkündür. Oysa MAC adresleri sabit olduğundan dolayı, bu şekilde bir esnekliğe sahip değillerdir. IP adresleme ile yakalanabilen diğer bir avantaj da network’leri birbirine bölerken bir network’ten bir başka network’e belli tipte paketlerin geçmemesini sağlamaktır. Her paket hangi yazılıma ulaşacağı hangi port’ta ele alınacağı ya da ne kadar süre ile hangi network’e ait olduğu gibi pek çok bilgi tek bir pakette taşınabildiği için bu paketlere çeşitli kısıtlamalar da getirmek olasıdır. IP filtreleme (IP filtering) denen bu olayın çok daha gelişmiş bir şekli, firewall adı verilen yazılım (ve donanım) grubu tarafından yapılmaktadır. Firewall’lar bir bilgisayara nasıl ulaşılacağından hangi paketin bilgisayara gireceğine kadar her tür işlem için ayarlanabilirler ve bir IP paketinin farklı yollar kullanarak, bir bilgisayardan bir başka bilgisayar ulaşması sağlanabilir. Böylece network üzerinde olan trafiğin kontrol edilmesi ya da bazı özel network’lerin bazı paketlerden arındırılması sağlanabilir. 40 41 ZyXEL Partner Eğitimleri – Netron Technology - 2008 IP İle Adresleme Daha önce IP adresleme ile ilgili küçük örnekler vermiştik. Bir IP adresinin aslında bir şehirde yer alan bir evin adresini tanımlamaya benzediğini ve mahalle ve sokak ismi vermek gerekliliği gibi, bir IP adresinin de aslında iki farklı parametreden oluştuğundan bahsetmiştik. Bu örneği bir kez daha yineleyerek, buradaki kavramları bu bölüm içinde sık sık kullanacağız. Bir network’ün çeşitli sebepler nedeniyle segmentlere ayrıldığı söylemiştik. Bir şehir içinde, birbirinden farklı iki semt içinde yer alan aynı isimli sokak ya da cadde olabileceğini örneğimizde belirtmiştik. Aynı isme sahip iki farklı sokağın birbirinden ayrılması ve farklı noktalarda olduğunun tanımlanması için çoğunlukla adres belirtirken, bir de semt ya da ilçe ismi belirtiyoruz. IP ile network cihazlarına, adres verilirken benzer bir uygulamaya gidilmektedir. Bir IP adresi Subnet Mask ve IP adresi olarak iki farklı adres parametresinden oluşur. Bu noktada Subnet Mask parametresini kabaca, bir caddeyi anlatırken kullandığımız bir ilçe ismine, IP ise o ilçe içerisindeki sokak ismine benzetmek mümkün. Ancak Subnet Mask ve IP adresi bir sokak ve ilçe ismi gibi birbirinden bağımsız olarak tanımlanamazlar. Bir Subnet Mask ya da bir IP adresi matematiksel bir ifadedir ve bu iki matematiksel ifade aralarında tanımlı bir ilişki ile birbirlerini sınırlar. Bu sınırlamayı belirleyen kuralları kullanarak, network’leri segmentlere böleriz. Bu konuda ve bölümün ilerleyen kısımları boyunca Subnet Mask ve IP adresi arasında yer alan bu ilişkiyi inceleyecek ve bu matematiksel ilişki sayesinde network segmentlerinin nasıl ortaya çıktığını göreceğiz. Subnet Mask ve IP Adreslerinin Genel Yapısı Subnet Mask ve IP adresleri, dört adet sayının ardı ardına yazılmasından meydana gelmektedirler. Bilgisayarın her noktasında olduğu gibi bu dört adet sayının oluşturulmasında da binary (ikili) sayı sistemi kullanılmaktadır. Bu nedenle önce ikili sayı sistemi hakkında bilgi vereceğiz. İçindekiler Bizler gündelik yaşamda onlu sayı sistemine göre düşünmekte ve buna göre hareket etmekteyiz. Bu durum, aldığımız eğitim ve doğal olarak bu sayı sistemine olan yatkınlığımızla da bağlantılı. Ama dijital sistemlerin hiç biri onlu (decimal) sayı sistemi temel olarak kullanmaz. Bir sayı sisteminde her basamak, o sayı sisteminin bir üssü olarak ele alınmaktadır. Örneğin 423 gibi bir sayı için, şekilde gösterilen tipte bir çözümleme yapmaktayız ( 6.4). Oysa dijital bir cihaz verileri işlerken ve aktarırken, sadece elektrik sinyallerinden yararlanabilir. Elektrik sinyalleri sadece var ya da yok şeklinde gösterilebilir. Bir kablodan bir anlık akım geçiyorsa o takdirde elektrik akımı var ya da aksi halde yok şeklinde düşünülür. Bu iki durum için ise 0 ve 1’lerden yararlanılır. 0 rakamı ile elektrik sinyalinin yok olduğu durumlar; 1 rakamı ile de elektrik sinyalinin var olduğu durumlar gösterilir ( 6.5). Bu şekilde veriler elektrik sinyalinin var ya da yok şeklindeki durumundan yararlanılarak veri 1 ve 0 rakamlarını aktarır. Sonuçta 1’ler ve 0’lardan oluşan 42 43 ZyXEL Partner Eğitimleri – Netron Technology - 2008 sayı dizileri elde edebiliriz. Her sayı dizisi ikili düzende bir sayıya denk gelmektedir. Bu sayıları onlu düzene çevirebilir ve her bir sayıya da bir anlamlı bir karşılık verebiliriz. Bu sayede bir cihaz üzerinde hareket eden 1’ler ve 0’lar bir araya getirildikçe bir anlam kazanacak ve işlem görebilecek olan bir veriye dönüşecektir ( 6.6). Şimdi başa dönüp, Subnet Mask ve IP ikilisinin yapısını anlatmaya devam edelim. IP adresi ve Subnet Mask bilgilerine ulaştığınızda, bunların birbirini takip eden sayı gruplarından oluştuğunu görürsünüz. Bir Subnet Mask’ı ya da IP adresini gördüğünüzde, 192.168.112.200 ya da benzer şekilde dört adet sayıdan oluştuğunu görmek mümkündür. Burada verdiğimiz örnekteki 192; 168 ya da 001 gibi sayıların her birine oktet (octet – sekiz haneli sayı kümesi) ismi verilmekte. Bunun nedeni, 10’luk sistemde gördüğünüz bu sayıların ikili sisteme çevrildiklerinde bu değerin her zaman 8 bit (8 digit) ile elde edilmesidir. İkili sistemde 8 bit’li bir sayı en az 0 (00000000) en fazla ise 255 (11111111) değerini alır. TCP/IP adresleri de, noktalarla ayrılmış bölümlerinde sayıların decimal karşılıkları en fazla 255 olabilen sayılarla oluşturulurlar. İkili sistemde konuşmak yazmak, böyle bir sayı için 32 bit tuttuğu ve kolay olmadığından, sistem ikili sistemde çalışır ama, okunup konuşulurken 10’luk sistem kullanılır. İkili sistemde çalışan TCP/IP adreslerinin bu şekilde kullanılmasına dotted decimal notation (noktalı ondalık notasyon) denir. Daha önceki şekillerde verdiğimiz örneklere dikkat edecek olursanız, örneklerin bu aralıkta tanımlanan sayılarda seçildiğini görürsünüz. Bu şekilde her bir oktet’in yapısını ve her oktet’in aslında sekiz adet 1 ve 0’dan oluştuğuna aşina oluyoruz. Daha önce sizlerle Subnet Mask ve IP numaralarının birbiriyle matematiksel olarak ilişkili olduğunu ve bu ilişkiyi kullanarak, network’lerin segmentlere bölündüğünü söylemiştik. Aradaki bu matematiksel ilişkiyi belirlerken, Subnet Mask’ı ve IP numarasını devamlı olarak ikili sayı sistemine çevireceğiz. Bir İçindekiler Subnet Mask ile IP numarası arasındaki ilişkinin bulunması için her bir oktet’in binary’e, diğer bir deyişle ikili sayı sistemine çevrilmesi gerekmektedir. Bölümün geri kalanında bu matematiksel ilişkinin kurulması için gerekli olan hesapları işleyeceğiz. Tüm bu bahis ettiğimiz Subnetting ve IP adreslerinin hesaplanması ile ilgili konuları takip eden alt başlıkları okuduktan sonra kavrayabileceksiniz. Bu bölümlerin her birinde subnetting ile ilgili sadece bir kısım anlatılmış olacak. Ancak tüm bölümleri bitirdiğinizde subnetting’in ne olduğunu ve nasıl bir uygulama alanına sahip olduğunu anlama fırsatı bulacağız. Onlu Sistemin İkili Sisteme Çevrilmesi Tüm IP terminolojisinde, onlu sistemi kullanmamıza rağmen, IP ve Subnet Mask’ların oluşturulmasındaki tüm işlemleri ikili düzen üzerinden yapılmakta olduğunu daha önce söylemiştik. Subnet Mask ve network segmenti oluşturmak için öncelikle onlu sayı dizisindeki yazılmış, her bir okteti ikili sayı düzeninde belirtmeyi öğrenmelisiniz. Bu konuda bir örnek belirleyecek ve bu örnek üzerinde işlemleri anlatarak bu dönüşüm işlemini açıklayacağız. oktet1 oktet2 oktet3 oktet4 192 168 90 1 Şu anda yukarıda yer alan her bir sayının bir oktet ismini aldığını biliyorsunuz. Şimdi bu oktet’lerden birine, oktet 1’e, daha yakından bakalım. Bu oktet’in onlu düzende karşılığı 192 ve bu desimal rakamın ikili düzende 11000000 ile gösterildiğini, hesaplamaların nasıl yapıldığını göstermek amacıyla veriyoruz. Her oktet 8 adet bit’ten oluşmaktadır. Ama asıl öğrenmemiz gereken 11000000’nın nasıl 192’ye karşılık geldiği... Her bir sayı düzeninde olduğu gibi ikili düzende de basamaklar bulunmakta.Bu örneğin onlu düzende birler (100), onlar (101) ve yüzler (102) gibi 10 ve 10’un katları (üstleri) şeklinde giden basamaklar, ikili düzende birler (20), ikiler (21), dörtler (22), sekizler (23) gibi basamaklara sahiptir. 128’ler basamağında 1 rakamı varsa bunu doğrudan o basamak değeri ile çarparak değerini bulabiliriz. Tüm rakamları ve var olan basamak değerlerini topladığımızda sayının onlu düzendeki karşılığı çıkar. Bizim örneğimizde ise sadece 128’ler ve 64’ler basamağında iki adet 1 rakamı var ve bunların çarpımlarını topladığımızda, onlu düzendeki 192 sayısını elde ediyoruz. 44 45 ZyXEL Partner Eğitimleri – Netron Technology - 2008 128 64 32 16 8 4 2 1 1 1 0 Bit’ler (ikili sistemde sayının yazılışı) 0 0 0 0 0 128+64 = 192 Bir başka örnek: Onlu sayı sisteminde 219 değerine sahip olan bir sayının ikili düzendeki karşılığını bulalım. 128 64 32 16 8 4 2 1 1 1 0 1 1 0 1 1 Bit’ler 128+64+16+8+2+1 = 219 Eğer bizim örneğimizdeki 192.168.90.1 şeklindeki dört oktetten oluşan bir IP adresini ikili düzene çevirirseniz, şu karşılığı bulursunuz: oktet1 oktet2 192 oktet3 168 11000000. oktet4 90 10101000. 1 01011010. 00000001 AND İşlemi ve IP Sınıfları Bu bölümde IP adreslerinin ve IP sınıflarının nasıl ortaya çıktığından bahsedeceğiz. Daha önce bir Subnet Mask’ın ve bir IP numarasının birlikte kullanılarak bir network segmenti oluşturduğunu söylemiştik. Subnet Mask öyle bir numaradır ki, verilen bir IP adresiyle AND işleminden geçirdiğinizde, bu IP adresinin network bölümünün neresinde olduğu ortaya çıkar. Bunu ileride anlatacağız. Şimdi bir örneği görelim ve bu örnekten yola çıkarak IP sınıflarını tanımlayalım. Bir Subnet Mask’ı oluşturulmasında kullanılan temel kural bu adres içinde bir kez sıfır rakamı kullanıldıktan sonra ardından 1 rakamının bir daha kullanılamamasıdır. Yani bir Subnet Mask sadece birbiri ardına gelen 1’ler ve sonra yine birbiri ardına gelen 0’lardan oluşabilir. Örneğin; oktet1 oktet2 oktet3 oktet4 255 255 224 000 11111111. 11111111. 11100000. 00000000 (Doğru bir Subnet Mask’tır.) İçindekiler Dikkat ederseniz; üçüncü oktet’de üç adet 1 rakamı kullanılmış ve bundan sonra arada hiç bir rakamı yok. Subnet Mask’ların tek oluşma biçimi bu şekildedir. Aksi bir durum olarak: oktet1 oktet2 oktet3 255 255 229 11111111. 11111111. 11100101. oktet4 128 10000000 Yukarıda gördüğünüz sayı Subnet Mask’ta kullanılmak üzere tanımlanmış yanlış bir sayıdır. Örneğin üçüncü oktette (oktet3) ilk iki sıfırdan sonra 1 rakamı kullanılmıştır. Aynı şekilde, dördüncü oktet’de de 1 rakamı kullanılarak Subnet Mask’lar için söylediğimiz kural bozulmuştur. Bir Subnet Mask içinde bir kez 0 rakamı kullanılırsa bundan sonra gelecek rakamların hepsi 0 olmalıdır. Şimdi bu kuralın ne işe yaradığını görelim. Aynı ağ segmentinde, yani aynı ağ bölümünde bulunan iki bilgisayar birbiriyle iletişim kurarken nasıl aynı ağ segmentinde olduklarını anlamaktadırlar? Yine farklı iki ağ segmentinde bulunan bilgisayarlar farklı bir ağ üzerinde olduklarını nasıl anlamaktadırlar? Bir bilgisayar üzerinde hem o bilgisayara ait IP numarası hem de Subnet Mask numarası tanımlıdır. Bir bilgisayar başka bir bilgisayara bir veri iletmeden önce her iki numarayı bir AND işleminden geçirir. AND işlemi, VE anlamına gelen, bir tür mantıksal işlemdir. İki bit AND işlemine sokulduğundan şu sonuçlar çıkar: 1 AND 1=1 1 AND 0=0 0 AND 1=0 0 AND 0=0 Bu işlemi kısaca şu şekilde de tanımlayabiliriz: İki 1 AND işlemine sokulursa; sonuç 1 olur. Değerlerden herhangi biri 0 ise, sonuç 0 olmaktadır. AND işleminde 1 etkisiz eleman olarak kabul edilebilir. Şimdi aynı iki network segmentinde yer alan iki bilgisayarın birbirlerine veri göndermeye çalıştığını düşünelim. A bilgisayarı ve B bilgisayarına ait IP ve Subnet Mask bilgileri şekilde gözüktüğü gibidir ( 6.7). A bilgisayarı B bilgisayarına bir veri göndermeye çalışmaktadır. Bu durumda A bilgisayarı ilk olarak kendi IP numarası ile kendi Subnet Mask’ını bit bit AND işlemine sokacaktır. 46 47 ZyXEL Partner Eğitimleri – Netron Technology - 2008 11111111. 11111111. 00000000. 00001010 (10.10.10.10 şeklindeki A bilgisayarının IP’si) 00000000 (255.255.0.0 şeklindeki A bilgisayarının Subnet 00001010. 00001010. 00000000. 00000000 (AND işleminden sonra çıkan birinci sonuç: 00001010. 00001010. 00001010. Mask’ı) 10.10.0.0) Bu işlemin sonucunda bulunan sayıya, verilen IP adresinin network bölümü (Network ID) denir. Birazdan bu konuya tekrar geleceğiz. A bilgisayarındaki IP protokol yazılımı, su anda kendisinin bulunduğu IP network’ünün network numarasını bulmuş olur. Bu örnekte, bu numara dotted decimal notasyona göre 10.10.0.0 olacaktır. Bu sayıya X diyelim. Aynı bilgisayar, göndereceği bilgisayarın IP numarası ile kendi Subnet Mask’ını da AND işleminden geçirir. 00001010. 00001010. 00001010. 11111111. 11111111. 00000000. 00001010. 00001010. 00000000. 00001011 (10.10.10.11 şeklindeki B bilgisayarının IP’si) 00000000 (255.255.0.0 şeklindeki A bilgisayarının kendi Subnet Mask’ı) 00000000 (AND işleminden sonra çıkan ikinci sonuç: 10.10.0.0) Şu anda A bilgisayarı B bilgisayarının tahmin ettiği Network ID’sini buldu. O bilgisayarın IP adresinin Network ID kısmına A %100 emin olamaz, çünkü hedef bilgisayarın Subnet Mask’ını bilmiyordur. Bu örnekte buradan da 10.10.0.0 bulunur. Bu sayıya da Y diyelim. Bu işlemler sonucunda, her iki sonuç da aynı çıktığı anda A bilgisayarı veri göndereceği bilgisayarın da kendi bulunduğu network’le aynı network’te olduğunu anlayacaktır. Sonuç olarak X=Y ise A bilgisayarı ile B bilgisayarının aynı segmentte olduğu, (aynı lokal network’te) olduğu anlaşılır. A bilgisayarının B bilgisayarını network üzerinden bulması için, A’daki IP protokolünün yaptığı işlemler böyle olduğundan, IP adreslerinin birbirleriyle uygun verildiği bu gibi durumlarda, Subnet Mask numaraları farklı bile olsa, bu bilgisayarlar aynı LAN üzerinden birbirleri ile haberleşebilirler. Çünkü X=Y olduğu anlaşıldığı zaman, hemen ilgili host’un network kartından network’e bir ARP broadcast paketi atılarak, “IP adresi 10.10.10.11 olan host’un MAC adresi nedir?” sorusuna cevap bulunur. Sonra da ilgili veri haberleşmesi ne ise, örnek Ethernet Frame’lerine konan TCP/IP paketleri ile karşılıklı gönderilmeye başlanır. Bu örnekten de anlaşıldığı gibi, X=Y olmadığı (Network ID’si için) durumlarda, A bilgisayarı, B bilgisayarı ile aynı network’te olmadığını anlar, B’nin başka bir network’te olduğunu anladığı için de, veri paketini tanımlı olan Default Gateway adresine gönderir (bu konuyu daha ilerde ele alacağız). Bu noktada İçindekiler da işlem Default Gateway’in MAC adresini öğrenmek için, A tarafından bir ARP broadcast’inin network’e bırakılması ile devam eder. Şimdi iki farklı network’te olan (iki farklı network segmenti) iki bilgisayarın birbirilerinden farklı network’lerde olduklarını nasıl fark ettiklerini görelim. Bu sefer iki farklı network’te A ve B bilgisayarı olsun. Bu iki bilgisayarın Subnet Mask’larının ve IP numaralarının şekildeki gibi verildiğini düşünelim ( 6.8). Şekildeki C ve D bilgisayarlarının birbirlerinden farklı iki Subnet Mask’a sahip olduklarına dikkatiniz çekmek istiyoruz. Bu sefer farklı bir Subnet Mask adresine sahip olan D bilgisayarının C bilgisayarına veri göndermek istediğini düşünelim. Veri göndermek isteyen D bilgisayarı yine kendi IP’sini kendi Subnet Mask’ı ile AND işlemine sokacaktır. 00001010. 00001010. 00001011. 00001011 11111111. 11111111. 11111111. 00000000 00001010. 00001010. 00001011. 00000000 (10.10.11.11 şeklindeki D bilgisayarının IP’si) (255.255.255.0 şeklindeki D bilgisayarının Subnet Mask’ı) (AND işleminden sonra çıkan birinci sonuç: 10.10.11.0) Aynı bilgisayar, göndereceği bilgisayarın IP numarası ile kendi Subnet Mask’ını da AND işleminden geçirir. 00001010. 00001010. 00001010. 00001010 (10.10.10.10 şeklindeki C bilgisayarının IP’si) 11111111. 11111111. 11111111. 00000000 (255.255.255.0 şeklindeki D bilgisayarının Subnet 00001010. 00001010. 00001010. 00000000 (AND işleminden sonra çıkan ikinci sonuç: Mask’ı) 10.10.10.0) Her iki sonucun birbirinden farklı olduğuna dikkat çekmek istiyoruz. Bu noktada D bilgisayarı veri göndereceği bilgisayarın farklı bir network segmentinde bulunduğunu fark eder. D bilgisayarı, verilerini göndermek istediği bilgisayar ile aynı network’te olmadığı için bu bilgisayara doğrudan erişemeyecektir. Bu durumda, veri paketlerinin bir router ya da gateway isimli bir cihazdan, B bilgisayarının bulunduğu network’e aktarılması gerekmektedir. Bu işlem için C bilgisayarı verileri Default Gateway isimli özel bir IP adresine gönderir. Bu IP adresinin ucunda diğer network segmentine verileri aktaracak olan router ya da benzeri cihaz bulunuyor olacak. Bu sayede gönderilen verilerin diğer network’e aktarma işlemi mümkün olacaktır. Bu örneklerden de anlayabileceğimiz gibi, Subnet Mask ile AND’leme hesabı, iki farklı IP adresinin aynı network’te olup olmadığını anlamakta kullanılmaktadır. Şu halde IP yapısında (Subnet Mask’lara bakarak) iki kısım olduğunu söyleyebiliriz. Bir IP’nin başından itibaren belli bir kısmı onun hangi network’te 48 49 ZyXEL Partner Eğitimleri – Netron Technology - 2008 olduğunu geri kalan kısmı ise o network’teki bilgisayarların tanımlanması için gerekli numaraları verdiğini söyleyebiliriz. TCP/ IP dünyasında, IP numarasının hangi network’te bulunduğunu gösteren kısmına Network ID ve geri kalan bilgisayarların adreslendirilmesi için kullanılan kısma ise Host ID olarak isimlendirilir. Bu sistemi sokak numarası, kapı numarası örneğine benzetebiliriz. Nasıl bir sokaktaki tüm evlerin kapı numaraları ayrı, sokak numaraları aynı olmak zorunda ise, bir IP network’ündeki tüm host’ların da, IP adreslerinin host ID bölümleri ayrı, Network ID bölümleri aynı olmak zorundadır. Ama bu noktada bir IP adresinden baştan kaç bit’inin Network ID ve kaç bit’inin Host ID olarak adlandırıldığı bilgisi Subnet Mask tarafından belirlenir. Bir AND işlemi sırasında 1 rakamı etkisiz eleman olarak karşımıza çıktığını daha önce belirtmiştik. Bu sebeple de Subnet Mask’ın bir kısmı sadece 1’lerden geri kalan kısmı ise sadece 0’lardan oluşmaktadır. Subnet Mask içindeki 1’ler IP numaramızın Network ID’sini ve Host ID’sini belirlemede kullanılmış olur. IP Sınıfları Bir network’ün Subnet Mask’ının, network’ler arasındaki farkı nasıl belirlediğini gördük. Bir IP ve Subnet Mask birlikte kullanıldığında, iki farklı network segmentini gösteriyor olabileceğini ve bunun temel mantıksal işlemlerinden biri olan AND işlemiyle gerçekleştirildiğini gördük. Şekilde, Network ID ve Host ID adında IP adreslerinin Subnet Mask tarafından etkilenmiş bir kısmının olduğunu da fark etmişsinizdir. Şu halde, Subnet Mask’ların network segmentleri arasında ayrım yapmak için kullanılan bir araç olduğunu da söyleyebiliriz. İnternet gibi büyük network’lerde, segmentler kayıplara da neden olmaktadır. Bu durumun nasıl meydana geldiğini ilerleyen bölümlerde göreceğiz. Network’lerdeki segmentleri oluşturulmasında yardım aldığımı Subnet Mask’lar, IP’lerin sınıflarının da oluşturulmasında rol oynar. Bu noktada geriye dönüp söylediğimiz bir kuralı hatırlatarak yolumuza devam edelim. Subnet Mask’larda 0 rakamından sonra tekrar 1 rakamı gelemez. AND işleminin sonucu olan kural, 1 rakamının, AND işlemindeki etkisiz eleman olmasından kaynaklanır. 1 rakamı ile AND işlemini hangi sayı ile yaparsak yapalım, sonuç yine o sayının kendisi çıkar. O halde bazı Subnet Mask’lardaki kullandığımız 1 rakamlarının sayısı, IP’nin ne kadarlık bir bölümünün network segmentinin ayrımında kullanılan Network ID olarak kullanıldığını gösterecektir. Yani İçindekiler Subnet Mask’taki 1 rakamları, IP adresi üzerindeki hangi kısmın Network ID hangi kısmın da Host ID olacağını gösterecektir. 11000000. 10101000. 01101001. 00000001 (Onlu sayı sistemindeki 192.168.105.1 IP adresi) 11111111. 11111111. 11111111. 00000000 (Onlu sayı sisteminde 255.255.255.0 şeklindeki bir Subnet Mask) ← → Network ID ←Host ID→ Görüldüğü üzere, verileri gönderirken de kullandığımız bir Network ID ve Host ID kavramı var ve bir bilgisayarın bir başka network segmentinde olduğu, bu kavramların farklı yapıları nedeniyle belirginleşiyor. Subnet Mask’ların farklı şekilde Host ID ve Network ID yapılandırması, IP sınıflarının da oluşturulmasında kullanılmıştır. IP sınıfları, farklı ve bilinen uzunlukta Subnet Mask’ların kullanılması ile ortaya çıkar. IP sınıflarını, onları tanıyarak daha kolay kavrayabiliriz. İnternet standartlarının geliştirilmeye çalışıldığı ilk zamanlarda, “eğer IP adreslerini sınıflara ayırarak kullanırsak ve konuşursak, her sınıfın Subnet Mask’ı da belli ve değişmez olacağından, bir daha Subnet Mask’ın ne olduğunu telaffuz etmeye gerek kalmaz” diye düşünülmüştür. Bunun da bir kolaylık sağlayacağı düşünülerek, aşağıdaki sınıflandırma geliştirilmiştir. Class A: 1.x.x.x ile 126.x.x.x arasındaki IP’ler (IP adresinin en anlamlı bit’inin 0 olduğu sınıf) Class B: 128.0.x.x ile 191.255.x.x arasındaki IP’ler (IP adresinin en anlamlı iki bit’inin 10 olduğu sınıf) Class C: 192.0.0.x ile 223.255.255.x arasındaki IP’ler (IP adresinin en anlamlı iki bit’inin 110 olduğu sınıf) Bu tür IP adreslemeye classfull IP adressing (sınıflı IP adresleme) denir, bunun dışındaki sırf hesap yapılarak çalışan sisteme classless IP adressing (sınıfsız IP adresleme) ve classless routing (yönlendirme) adı verilir. Bu sınıflar, router’larda daha az RAM kullanılsın, boşuna Subnet Mask bilgileri tutulmasın, işlenmesin ve işlemci gücünden kazanç sağlansın diye tasarlanmıştır. Öte yandan, sırf bu yüzden İnternet’te büyük IP adresi kaybı yaşanmıştır. Bu kaybı önlemek üzere subnetting ve classless routing geliştirilmiştir. Class’lar, İnternet’te hâlâ classful router’lar kullanımda olabileceği için bir türlü kullanımdan atılamıyor. 50 51 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Görüldüğü gibi, başta İnternet’te classful IP adressing ve routing yapıldığı için çıkan bu kurallar sonucu, Class A network’lerin Subnet Mask’ı 255.0.0.0 olmalıdır; Class B network’lerin Subnet Mask’ı 255.255.0.0, Class C network’lerin Subnet Mask’ı ise 255.255.255.0 olmalıdır. Dolayısı ile bu kurallara uyulması zorunludur ve aksi düşünülemez. Ama günümüzde İnternet’teki router’lar da buna destek verdiği için (buna Classless InterDomain Routing, kısaca CIDR deniyor) ya da şirket için kullandığımız özel network’lerde subnetting mantığından da faydalanarak, farklı Subnet Mask kullanılması sistemine geçilebilir. Bunu, bu bölümde daha ileride ele alacağız. Bu durumda, Class’lardan bahsedilen bu standarda classfull subnetting ve classful routing; Subnet Mask ve dolayısıyla Network ID’lerin de ihtiyaçlarımıza göre belirlendiği ortama da classless subnetting ve classless routing diyoruz. Fazladan hiçbir Subnet hesabı yapılmazsa, IP sınıfları ve onlara verilmesi gereken Subnet Mask’lar şu şekildedir: Class (Sınıf) Başlangıç IP’si Bitiş IP’si Subnet Mask’ı Class A 0.x.x.x 126.x.x.x 255.0.0.0 Class B 128.0.x.x 191.255.x.x 255.255.0.0 Class C 192.0.0.x 233.255.255.x 255.255.255.0 Şu ana kadar kullandığımız halde anlamını pek detaylı olarak açıklamadığımız iki kavramımız var. Bunlar Network ID ve Host ID kavramları. Network ID, daha önce AND işleminde anlattığımız ve bir IP adresinin bir network (segment) üzerinde birbiriyle haberleşmek isteyen tüm host’larda aynı olmak zorunda olan kısmıdır. (sokak numarası gibi). Şu durumda Host ID’de, IP adresinin o network’teki her bir host’ta farklı olmak zorunda olan kısmıdır. Buradan yola çıkarak, ikili sistemde yazılabilecek sayılara bakılarak, bir network segmentinde sadece belli sayıda Host bilgisayarın bulunabileceği anlaşılır. Örnek vermek, Subnet Mask’i 255.255.255.0 olan Class C bir network’te, IP adresinin ilk üç okteti network’teki her bilgisayar için aynı olacağından, son okteti birbirinden farklı olan en fazla (28=256) bilgisayar ola- İçindekiler bilir. Host ID bölümünde, daha sonra bahsedeceğimiz başka kurallar gereği 0, ve 255 de kullanılamadığından, bu sayı 254’e iner. Şimdi her sınıfta, Network ID kısmı kullanılarak kaç adet network oluşturulabileceğine ve her network’te kaç adet Host olabileceğine bakalım. Burada biraz ikili sistem hesaplarına gireceğiz. Her Network ID’lerinin Başlangıç ve Network Bitiş Numaraları Segmentind eki Host Sayısı Teorik Olarak Kullanılabilecek Host Adresi Sayısı 126 16.777.214 224-2 = 16.777.214 Class B 16.384 65.534 Class C 2.097.1 52 254 Class (Sınıf) Networ k Sayısı Class A 1-126 128-191 (127 kullanılmaz, çünkü 216-2 = 65.534 loopback network’ünü belirtir) 192-223 (224’ten yukarıdakiler de, Class D ve Class E olarak adlandırılırlar; bunu daha ileride anlatacağız) 28-2 = 254 Görüldüğü gibi, İnternet üzerindeki bilgisayar ve IP kullanan aygıt sayısının son derece arttığı günümüzde, elde edilebilecek host adresi sayılarının yakın zamanda yetersiz kalması beklenmektedir. İnternet’in geliştirilmesi sürecinde, IP adreslerinin bu kadar yaygın bir kullanıma sahip olacağı tahmin edilmiyordu, bu yüzden günümüzde IP adreslerinin tükenmesi tehlikesiyle karşı karşıyayız. Bu yüzden geliştirilen yöntemleri daha ileride tartışacağız. Görüldüğü üzere, her IP sınıfında, farklı sayıda host sayısı ve network sayısı elde edilmektedir. Subnetting İşlemi ve Subnetting Hesapları Şu ana kadar Subnet Mask’larla sınıflar arasında daha öncede belirlenmiş bazı sınırlar olduğunu düşünerek işlem yaptık. Örneğin C sınıfı bir IP’nin ilk üç oktetinin, Network ID olduğu tanımlıydı. A, B, C sınıflarına göre, IP sınıflandırılmasında IP adresinin Network ID’sinin ve Host ID’sinin ne olduğunu belirlemiştik. Bu belirlemeler sonucunda da, hangi sınıf IP’de kaç tane network var ya da kaç adet Host oluşturulabilir olduğu tanımlıydı. Eğer biz bu standart sayının dışına çıkacak olursak, ne tür bir yolla Subnet Mask’ı hesaplamamız gerekiyor? 52 53 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Örneğin, bir firmamız olsa ve tüm şubeleri gerçek IP adresler kullanarak İnternet’e bağlamak istesek ne yapmamız lazım? Ya da kendi içinde bir sürü segment olan bir büyük network’ü tümüyle İnternet’e bağlamak istesek ne yapacağız? Ya da, tamamen İnternet’e kapalı bir network’ümüz de olsa, bazı standartlar getirerek, şubelerimize nasıl IP adresleri vermemiz gerekir, her şubenin Network ID’leri, ve buralardaki Host ID’leri belli bir düzen içinde kullanılabilir mi? İste bu gibi ihtiyaçlar için, class’ların dışına çıkmak ve network numaralarına karar verirken network’ün ihtiyaçlarına bakmak gerekir. Çünkü verilen Subnet Mask’ın durumuna göre kullanabilecek IP adreslerine sabit ve sınırlı olduğundan, IP adreslerini efektif kullanmak için böyle bir çalışmaya ihtiyaç vardır. İnternet ilk kurulurken anlaşılmayan en önemli problem, Class C’nin bir network’te sadece 254 host adreslerken, Class B’nin de 65.000 host adreslemesi idi. Büyük bir şirket için kullanılan bilgisayar sayısı göze alındığında, 65.000 çok büyük bir rakam, 254 ise çok küçük bir rakamdır. Bu yüzden, İnternet’e bağlanmak için IP adresi gereksinimi duyan şirketlere o zamanlar üç dört tane C class verilmesi yerine, bir tane B class adres tahsis edildiğinden, İnternet’te boş IP adresi sayısı günümüzde oldukça azalmıştır. Basit bir örnek olarak, elinde Class B bir IP adresi havuzu olan bir şirketin, tüm şubelerini birbirine bağlaması için, eğer en fazla 254 tane şubesi varsa, tüm şubelerinde 255.255.255.0 Subnet Mask’ını kullanarak bir adreslemeye gitmesine subnetting diyoruz. Router’ların bu gibi network’teki çalışmasına ise, classless IP routing denir. İnternet’in ilk başlarında bu tür Subnet Mask kuralları konmadan çalışmaya başlanmasının sebebini ise, o zamanki donanım kısıtlamaları sonucunda, sadece IP Class’ları bilerek çalışan router’ların piyasada olmasına bağlayabiliriz.Bir örnekle durumu anlatmaya çalısalım. Bu tür verileri belirlemek için yaptığımız hesaplamalara subnetting ismini veriyoruz. Standart dışı Subnet Mask ve IP eşlemesi için tablolar yerine kendi hesaplamalarımızı yapmak ve network’lerimizi kendimiz oluşturmak durumundayız. Örneğimize tekrar geri dönersek en fazla 5 şubesi olan bir şirketin ISS’den aldığı 191.45.0.0 IP adres havuzu olsun. Her şubesinde de en fazla 1.500 host olduğunu düşünelim (bilgisayarlar dışında, router port’larına da adres verileceğini unutmayın). Normalde bu IP adresi ve 255.255.0.0 Subnet Mask kullanılarak birden fazla segment adreslenemez. Çünkü farklı segmentlerdeki her host’un IP adresinin network bölümünün ayrı olması gerekir. Ham olarak bakarsak, tek bir segment üzerinde 65.000 küsur tane İçindekiler host varsa, bu IP adresi kurallara bağlı olarak bunları adreslemek için kullanılabilir. Bu durumda birinci host’un IP adresi 191.45.0.1, ikincinin ki 191.45.0.2 vb. şeklinde gitmesi gerekirdi. Ancak gerçek hayatta baktığımızda da, fiziksel olarak bir LAN network’ünde bu kadar bilgisayarın ortak çalışabildiği bir durum mümkün değildir. Zaten bu kadar bir host’u fiziksel olarak birbirine tek bir LAN olarak bağlayabileceğiniz bir switch, hub sistemi bile yoktur. 1. Öncelikle gerekli Subnet sayısını elde etmek için kullanmamız gereken host bit’i sayısını bulalım. İlk oktet 191’dir ve 128-191 aralığında olduğu için bir Class B IP adresidir. Her oktet 8 bit’e sahiptir. Class B IP adreslerinin ilk iki okteti (16 bit) kilitlidir, bu yüzden bunlara dokunamayız. Geriye 2 oktet (16 bit) kalır. Şimdi 2’nin üslerini kullanarak, 5 subnet için kaç bit’e ihtiyaç duyduğumuzu tespit edelim: 1 bit (21) – 2= 0, bu olmaz 2 bit (22) – 2 = 2, bu subnet sayısı yeterli değil, devam edelim 3 bit (23) – 2 = 6, bu sayı yeterli. 5 subnet için 3 bit alabiliriz (1 subnet’i de muhtemel bir genişleme için elde tutabiliriz!) Şimdi bu ilk üç bit’in değerini tablomuza yazalım. 128 64 32 16 8 4 2 1 X X X X X X X X 1 1 1 0 0 0 0 0 Her subnet’te kaç adet host’un olabileceğini hesaplayalım. Tabloda soldan sağa giderek geri kalan bit’leri sayalım. Bu, subnet başına host sayısını verecektir. Class B için toplam 16 host bit’imiz olduğuna ve 3 bit’ini kullandığımıza göre, geriye host’lar için 13 bit kalacaktır. 213-2=8190. Bu değer ihtiyaç duyduğumuz 1500 değerinden çok fazla olduğundan, ileride network’ü genişletmek üzere daha fazla host bit’i alabiliriz. Şimdi az önceki tablomuzu kullanarak Subnet Mask’ı bulalım. 128+64+32=224. Bir Class B network’ü söz konusu olduğundan ve ilk iki oktet rezerve edildiğinden, varsayılan Subnet Mask 255.255.0.0’dı. 3. oktetten ilk 3 bit’i aldığımız için sadece bu oktete dikkat etmeliyiz. Subnet Mask’imiz 225.225.224.0’dır; bu kısaca /19 (8 + 8 + 3 = 19) olarak da yazılabilir. Subnet Mask’i ya da son network bit’inin değerini kullanarak, artım değerini bulalım. Az önce hesapladığımız Subnet Mask oktetinin değeri 224’ü 256’dan çıkaralım. Sonuçta 32 değerini buluruz (ya da 2. maddedeki tabloda sağdan sola giderek 1 yaptığımız ilk bit’in değerine bakalım. Bu da 32’dir). Yani, 1 numaralı 54 55 ZyXEL Partner Eğitimleri – Netron Technology - 2008 subnet’in numarası 32 olacak, bundan sonra Subnet Mask değerine ulaşana dek her geçerli subnet’in değeri 32 artarak ilerleyecek. Az önce bulduğumuz artım değerini kullanarak, ilk Host’un IP’sini, bu subnet için Broadcast adresini ve son Host’un IP’sini bulalım. İlk artım değerimiz olan 32’ye kendisini ekleyelim: 32+32 = 64. Sonraki artım değerinin bir eksiği (yani 64–1 = 63), önceki subnet’in broadcast adresidir (32 subnet’inin). Geçerli artım değerine bir eklediğimizde (32+1 = 22), 32 subnet’indeki ilk host’umuzun IP’sini buluruz. Geçerli Subnet’in broadcast adresinden 1 çıkardığımızda (63–1 = 62), 32 subnet’i için son Host’un IP’sini buluruz. Ayrıntıları Tablo 6.1’de görüyorsunuz: Subnetting işleminde Subnet Mask’lar sadece Network ID’sinin uzunluğunu belirler. Diğer yandan Host ID ve Network ID hesaplamalarında, her zaman ikili düzende çalışmak gerekmektedir. Burada, subnetting işleminde de kullandığımız TCP/IP adreslemesine ait üç kuralı tekrar etmek istiyoruz. Bir Subnet Mask içerisinde 0 rakamını 1 rakamı takip edemez. Bir kez 0 kullanıldığında, geri kalan kısmında 0’lardan oluşması gerekmektedir. Subnet Mask, Network ID ve Host ID’nin bulunuşu için kullanılmaktadır. Bir network segmentini oluşturan farklı Network ID’ler arasında, Network ID’si tümüyle 1’lerden oluşuyorsa, bu network segmenti broadcast amacıyla rezerve edilmiştir. Subnet’leme sonrası oluşan son subnet (yani hep birlerin kullanıldığı) ile, subnet’lenmemiş ana network’ün broadcast adresleri aynı olacağından, bu broadcast adresleri karışabilir diye düşünülmüş ve “subnet ID olarak hep bir kullanmak olmasın” denmiştir. (Örneğin: 191.45.0.0 ana network’ünün, 255.255.255.0 Subnet Mask ile subnet’lediğini düşünün. Buradaki son subnet 191.45.255.0 olur. Bunun broadcast adresi de dolayısıyla 191.45.255.255 olur, bu da ana network’ün 191.45.255.255 olan broadcast adresi ile karışabilir, o yüzden subnetting’de hep 1 subnet kullanılmasın denmiştir. Bir TCP/IP adresinin host kısımlarındaki bit’lere 1 konarak elde edilen IP adresine, o network’ün broadcast adresi denir. Bir network’teki tüm host’lara gönderilmek istenen paketler bu adrese yönlendirilirler (örneğin: 192.167.3.0 network’ündeki tüm host’lara bir şey atmak için 192.167.3.255 kullanılır). Bu yüzden, bu host adresini kimseye veremeyiz, rezerve edilmiştir. Bir network segmentini oluşturan farklı Network ID’ler arasında, Network ID’si tümüyle 0’lardan oluşuyorsa, bu network segmenti IP fonksiyonları sırasında o network grubunu işaret etmek için rezerve edilmiştir. Bu sebeple de İçindekiler oluşturduğumuz network segmentlerinde iki farklı network daima normal kullanıma kapalı olacaktır. Bir TCP/IP adresinin host kısımlarındaki bit’lere 0 konarak elde edilen IP adresine, o network’ün kendi adresi denir. Örneğin 192.167.3.0 network’ü gibi, bu gibi adresler, routing tablolarında kullanılır, host’lara verilemez, rezerve edilmiştir. TABLO 6.1: ARALIKLAR, SUBNET ID, İLK VE SON HOST, BROADCAST ADRESİ Aralık 0 x 32 1 x 32 Subnet # Subnet ID, İlk Host, Son Host, Broadcast Adresi 0 Subnet #0 0 subnet’i geçersiz olarak kabul edilir. 32 Subnet Artım 32 = Routing Table tarafından kullanılan #1 Subnet ID İlk Host = 33 Son Host = 62 Subnet Broadcast 2 x 32 64 Subnet Artım 64 = Routing Table tarafından kullanılan #2 Subnet ID İlk Host = 65 Son Host = 94 Subnet Broadcast 3 x 32 İlk Host = 97 Son Host = 126 İlk Host = 129 Son Host = 158 İlk Host = 161 Son Host = 190 = 191 192 Subnet Artım 192 = Routing Table tarafından kullanılan #6 Subnet ID İlk Host = 193 Son Host = 222 Subnet Broadcast 7 x 32 = 159 160 Subnet Artım 160 = Routing Table tarafından kullanılan #5 Subnet ID Subnet Broadcast 6 x 32 = 127 128 Subnet Artım 128 = Routing Table tarafından kullanılan #4 Subnet ID Subnet Broadcast 5 x 32 = 95 96 Subnet Artım 96 = Routing Table tarafından kullanılan #3 Subnet ID Subnet Broadcast 4 x 32 = 63 = 223 224 Subnet Broadcast için rezerve. #7 56 57 ZyXEL Partner Eğitimleri – Netron Technology - 2008 WAN TEKNOLOJİLERİ Leased Line Teknolojisi Nedir, Nasıl Çalışır? Türk Telekom iletim altyapısı üzerinden noktadan noktaya bağlantı sağlayan, müşteriye özel ve sürekli tahsis edilmiş, sabit bant genişliğindeki bir bağlantı tipidir ve mesafeye göre aylık sabit bir ücret ile fiyatlandırılır. İçindekiler Nasıl Çalışır? Kullanıcı en yakın Türk Telekom santralına bakır kablo ile modem üzerinde bağlanır. Burada çok sayıda kullanıcının bağlantısı TDM Multiplexer olarak adlandırılan bir cihaz yüksek hızlı fiber bağlantılar üzerinden karşı ucun bulunduğu santrale kadar taşınır. Karşı ucun bağlı olduğu santral ile müşteri adresi arasındaki bakır kablo üzerinden yine modem ile geçilerek karşı uca ulaşılır. Burada kullanılan modemler sadece müşteri adresi ile santral arasındaki 3-4Km’lik mesafe üzerinde çalıştığından gürültüden etkilenmez. Santraller arası bağlantı fiber ve tamamıyla digital olduğu için 64Kb altındaki hatlarda görülen performans problemleri ve kesilmeler TDM hatlarında görülmez. Hangi Hızlarda Çalışır? 64Kb - 2Mb/s arası veya daha yüksek hızlarda TDM şebekesi üzerinden noktadan noktaya bağlantılar mümkün olmaktadır. TDM Kiralık Hat Kullanımı Yararı Nedir? Noktadan noktaya olması dolayısıyla paket kaybı düşük olduğundan bilginin iletilme güvenilirliği yüksektir. Bunun yanında gerçek zamanlı uygulamalar için uygun bir altyapıdır. Hangi Koşullarda Tercih Edilmelidir? TDM üzerinden kiralık hat teknolojisi; Yoğun ve düzenli aralıklarda veri transferi yapılacaksa, Güvenlik önemli bir kriterse, Gerçek zamanlı uygulamalar yapılacak is Seçilmesi uygun olan bir teknolojidir. Aksi durumda maliyet artacaktır. Kullanılacak cihazlar? Bağlı bulunan santraldeki altyapı ışığında Tellabs veya Newbridge modemler 58 59 ZyXEL Partner Eğitimleri – Netron Technology - 2008 kullanılarak TDM altyapısı üzerinden noktadan noktaya bağlanmak mümkündür. Dünyada bilgi ve iletişim teknolojilerinde gözlenen gelişmelere paralel olarak ülkemizde de bilgi işlem hizmetlerinin son yıllarda hızla yaygınlaşması ve gelişmesi, kişisel bilgisayar ve internet kullanımının artış eğilimi göstermesi, ayrıca özel ve kamu kuruluşlarının kendi veri ağlarını kurma gereksinimleri sonucunda yüksek hızlı kiralık data devresi taleplerinde önemli artışlar meydana gelmiştir. Frame Relay Teknolojisi Nedir, Nasıl Çalışır? Frame Relay, kurumlara geniş alan ağları üzerinden yüksek hızlarda servis veren, esnek band genişliği kullanımı ve kiralık hatlara göre daha verimli ve ucuz bağlantı imkanı sağlayan bir servistir. Frame Relay, kurumlara geniş alan ağları üzerinden yüksek hızlarda servis veren, esnek band genişliği kullanımı ve kiralık hatlara göre daha verimli ve ucuz bağlantı imkanı sağlayan bir servistir. Frame Relay, birden fazla kullanıcının haberleşme kaynaklarını paylaşması esasına dayanır ve ağa bağlanan tek fiziksel hat aracılığıyla birden fazla nokta ile görüşmelerine olanak tanır. Bu noktada artık iki uç arasında sürekli ayrılmış band genişliği yerine gereksinim duyuldukça kısa zaman aralıklarında kullanılan daha yüksek band genişlikleri söz konusudur. Merkez-şube bağlantılarında bir fiziksel hat üzerinden birden fazla nokta ile bağlantı yapılması sayesinde, Frame Relay, kiralık devrelerle karşılaştırıldığında, gereksinim duyulan devre sayısının azalması ile uygun maliyetli bir alternatif olarak kullanılmaktadır. İçindekiler Aynı fiziksel hat üzerinde değişik DLCI numaraları ile PVC'ler kullanılarak farklı yerlere bağlantılar yapılabilir. Frame Relay servisinin iki ana trafik bileşeni vardır. Bunlar: CIR (Committed Information Rate - Taahhüt Edilen Bilgi Oranı) ve EIR (Excess Information Rate - Fazla Bilgi Oranı). CIR, ağın belli koşullar altında bir PVC üzerinden taşımayı taahhüt ettiği bilgi oranıdır. EIR, kullanıcının hattı üzerinde kullanılabilir band genişliği olması durumunda şebekenin koşulları uygun olduğu sürece CIR'ın üzerinde gönderebileceği fazla bilgi oranıdır. Bilgilerin taşınacağı taahhüt edilmediğinden, EIR trafik tarifesi oldukça düşük tutulur. CIR ve EIR her bir veri iletim kanalı, DLC için ayrı ayrı tanımlanır. Kullanıcı isterse hiç EIR istemeden sadece CIR trafiği taşıyabilir. Tek DLC için tanımlanan CIR+EIR oranları toplamı hat hızını geçmemelidir, ancak her DLC'nin aynı anda aktif olmayacağı varsayımı ile tek hat üzerinde tanımlanan birden fazla DLC için verilen toplam CIR+EIR oranı hat hızını aşabilir. Frame Relay, kullanıcılara band genişliğinin esnek kullanımını sağlamaktadır. Ancak CIR ve EIR değerleri belli mühendislik kriterlerine göre seçilmez ve şebeke kaynakları iyi ayarlanmaz ise şebeke üzerinde "tıkanıklık" oluşabilir, 60 61 ZyXEL Partner Eğitimleri – Netron Technology - 2008 band genişliği sıkışıklıkları yaşanır. Erişim hızı kullanıcının ağa bağlandığı fiziksel hızdır, ortalama hız ise ihtiyacı olan ortalama veri iletim hızıdır. Bir Frame Relay kullanıcısının erişim hızı/ortalama hız oranı ne kadar yüksek olursa servis performansı o kadar yüksek olacaktır (yüksek verim, düşük gecikme) ve kullanıcı, band genişliğini patlamalı trafik gereksinimleri uyarınca daha etkin kullanabilecektir. Ancak şebeke performansı düşünüldüğünde bu oranının 2 ve 4 arasında tutulması tavsiye edilmektedir. Bir erişim hattı üzerinde birden fazla DLCI kullanılıyorsa, toplam kullanımın (tüm DLC'ların aynı anda kullanılması durumunda) %50'nin altında olmaması koşuluyla aynı kural her DLCI için uygulanır. Ancak istenirse, aynı erişim hattı üzerinden taşınan birden fazla DLC'ye ait toplam hız (toplam CIR) erişim hızının 2 katı olabilir. Pratikte bu durum "Aşırı yükleme" olarak tanımlanır ve kullanıcılara, şebeke performansını etkilemeden, oldukça iyi ekonomik koşullar sağlar. Tüm DLC'ler aynı anda aktif olmayacağı ve olanlar arasında da band genişliğinin istatistiksel olarak paylaşılacağı düşünüldüğünde bu çözüm oldukça iyi bir alternatif oluşturur. Frame Relay, kurumların geniş alana çıktıklarında ihtiyaçları olan yüksek band genişliğini sağlamak ve patlamalı trafik profilini en iyi şekilde taşıyabilmek için geliştirilmiş, yüksek hızlı bir iletim teknolojisidir. Düşük hızlardan başlayarak, 2Mb/s, 34Mb/s, 50Mb/s'ye varan hız seviyelerinde servis vermektedir. Frame Relay, günümüzün iyileştirilmiş hat kapasitesi ve uç kullanıcı cihazları (PC, iş istasyonları vs.) üzerindeki TCP/IP temelli uygulamaların hata denetim ve düzeltme mekanizmaları dikkate alınarak, X.25'deki çoğu denetleme fonksiyonu en aza indirilerek geliştirilmiş ve bu nedenle Frame Relay servisi ile çok yüksek işlem hızlarına çıkmak mümkün olmuştur. Frame Relay bağlantısı; Değişken band genişliğine ihtiyaç duyulmasını sağlayacak biçimde düzensiz aralıklarda ve değişken yoğunlukta veri transferi yapılıyorsa, Güvenlik açısından belli oranda risk kaldırılabilirse, İçindekiler Maliyet önemliyse ve özellikle şebeke uç sayısı çok fazlaysa tercih edilmelidir. Frame Relay ile Neler Yapılabilir? Her türlü ses, video ve veri noktadan noktaya taşınabilir, TTNet üzerinden internet bağlantısı yapılabilir. ATM (Asynchronous Transfer Mode) ATM, sayısal işaretleşme tekniği kullanan tüm iletişim hizmetleri için ortak bir iletim teknolojisi olarak, 1980’lerde ortaya atılmış bir kavramdır. ATM kavramı, esas olarak, o yıllarda CCITT (bugünkü ismiyle ITU-T= International Telecommunications Union Telecommunications) tarafından yapılmakta olan, B-ISDN (Broad-Band ISDN= Genişbandlı Tümleşik Hizmetler Sayısal Şebekesi) tanımlamasındaki standartları oluşturma gayreti sırasında belirdi. Bu anlamda ATM, o sıralarda yeni gelişmekte olan Synchronous Digital Hierarchy (SDH) standartlarına bağlanmıştı. Yani ATM, fiziksel seviyede, SDH devreleri üzerinde uygulanacaktı ve 44Mb/s ve daha geniş bandlı (155Mb/s, 622Mb/s,…) sayısal iletişim hatlarının değerlendirilmesi içindi. ATM’in sayısal iletişimde anahtarlama (switching) çözümüne getirmeyi vaat ettiği “Devre Anahtarlama (TDM) ve Paket Anahtarlama’nın en iyi taraflarını 62 63 ZyXEL Partner Eğitimleri – Netron Technology - 2008 bir araya getirme” özelliği, bu iki teknolojinin de yerini alarak, sayısallaştırılmış ses ve data taşınmasında ortak bir anahtarlama zemini inşasına müsaade eder. Böylece, ATM, kullanıcıların geniş alandaki yüksek hız ve esnek band ihtiyaçlarını karşılamada, bütün dünyada tek ortak çözüm teknolojisi olarak yerleşmeye ve DXC, TDM, X.25 ve Frame Relay hizmetlerinin, aynı anda hepsinin birden yerini almaya başlamıştır. Yine de, bunun da ötesinde, ATM, giderek, “uçtan-uca tek protokol kullanımı” sloganı ile formüle edilebilecek bir amaç doğrultusunda, klasik son kullanıcı protokollerinin de yerini almaya aday olmuştur. Ancak, host bilgisayarlar’ın ağ arayüzü olarak ve yerel alan ağ (LAN)’larında bir standart olarak ATM’in yagınlaşmasındaki bu yükselen dalga şimdi artık kırılmış gibi gözükmektedir. Yerel Alan Ağ’landırması ve İstemci/Sunucu (Client/Server) mimarisi, şimdi eskisinden de daha kuvvetli olarak, IP-Ethernet teknolojisi üzerinde gelişmeye devam etmektedir. Bu durum ATM’in popüler olan rolünü tekrar “Taşıyıcı/Hizmet sunucu”ların Geniş Alan Ağı Omurgalarında sınırlamış gözükmektedir. ATM’in taşıyıcı teknolojisi olarak üstünlüğü, aynı anda Protokol/servis şeffaf olması. Bu bakımdan herhangi bir protokol altında veriyi veya ses veya video sinyallerini taşımakta aynı ölçüde uygun olması, Özünde paket anahtarlamalı olması. Bu bakımdan, ATM anahtarlar arası trunk’larda band-genişliği kullanımının, bir “statistical multiplexing” yaklaşımıyla, etkin bir biçimde yapılması ve farklı kanallara tahsisi dinamik olarak ayarlanabilir olmasıdır. ATM in özgün olan faydası: “Yüksek hızlı devrelerde, çoklu-protokol ve çokluservis türüyle çalışmaya, taşıyıcı şebekekeye minimum işlem yükü getirerek olanak sağlamasıdır”. ATM destekli ürün ve ATM tabanlı hizmetlerin yaygınlaştırılmasını hızlandırmak amacıyla, uluslarası, kar amacı gütmeyen bir kurum olarak, “ATM Forum” teşkil edilmiştir. ATM Forum, ATM standartlarının oluşturulması yolunda yapılan çalışmaların en ciddi düzenleyicisi durumundadır. ATM ile ilgili en son standartlar ve bunların oluşturulması yolundaki gelişmeleri “ATM Forum” kaynaklarından takip edebilirsiniz. Kurumsal Kullanıcı için ATM İçindekiler Telekom operatörleri (Carriers), kullanım ihtiyacı büyük müşterileri için, yüksek hızlı kiralık devre (LL=Leased Line) lere bir alternatif olarak, kiralık ATM kanalları sunumunu getirmişlerdir. Belirli bir band genişliğini ATM sanal devresi olarak kiralamak istiyen kullanıcı, taşıyıcıdan, - devrenin her iki ucu için ATM port’u tahsisini ve - bu iki ucu bağlayan belirli bir band-genişliği kullanımı garantileyen kanal oluşturmasını ister olacaktır. ATM, X.25 ve Frame Relay gibi, bağlantı temelli bir protokole sahiptir. ATM uç cihazları arasındaki sanal devre (Virtual Circuit=VC), kullanıma başlanmadan önce, uçtan uca tanımlanmış ve kalıcı (permanent) olmalıdır. ATM “Switched Virtual Circuit (SVC)” uygulamaları da mümkün olmakla baraber, Taşıyıcıların sunduğu ATM hizmetleri genellikle PVC (Permanent Virtual Circuit) tabanlı olmaktadır. Ülkemizde, kiralık ATM kanalı hizmeti TTNet üzerinden mümkündür. TTNet’in ATM bağlantı hizmeti, Internet omurgasına erişim veya noktadan-noktaya bağlantı sağlamak şeklinde iki ayrı uygulama türü için ve iki ayrı tarife ile tanımlanmıştır. Ücretlendirme, - port hızına göre, bir kerelik, bağlantı ücreti - port hızına göre, aylık kira ücreti ve - sanal devre hızı (band-genişliği) na göre, aylık kira ücreti kısımlarından oluşmaktadır. Port hızı olarak, 2Mb/s, 34Mb/s veya 155Mb/s mümkündür. Sanal devre (PVC) band genişliği ise 1Mb/s ile 155Mb/s arasında çeşitli değerlerden seçilebilmektedir. Türk Telekom A.Ş.’nin sitesinden tarifeler incelenebilir. Sanal devre band-genişliği değerine ilave olarak, sanal devrenin trafik türü bakımından da tanımlanması gerekmektedir. Bu anlamda, PVC çeşidi olarak “CBR”,”UBR” ve “VBR-NRT” mümkündür. “CBR=Constant Bit Rate”, çoğunlukla, “Video Konferansı” veya telefon konuşması gibi ‘gerçek zamanlı’ uygulamalar için uygun bir trafik kanalı oluşturur. Burada, kullanıcı açısından ATM kanalı, sabit bir bit pompalama hızını, değişimlere uğratmadan, iletebilen niteliktedir. Band-genişliği tahsisinin en katı uygulandığı bu tür ATM servisi ücret olarak en pahalısıdır ve aynı hızlı kiralık devre ile kıyaslanmalıdır. 64 65 ZyXEL Partner Eğitimleri – Netron Technology - 2008 “VBR-NRT= Variable Bit Rate-Non Real Time”, gerçek zamanlı olmak zorunluluğu olmayan değişken bit hızı karakterli veri uygulamaları (TCP/IP paketleri transferi gibi) için uygun düşebilir. Bu servis, CBR ATM den daha ucuz fiyatlandırılmıştır. “UBR= Unspecified Bit Rate” ise en ucuz tarifelendirilmiş ATM servis türü olup, gerçek pompalanabilir bit hızı, ancak ATM şebekesinin en az sıkışık olduğu zamanlarda kiralanan band-genişliği mertebesine ulaşabilir. Şebeke kullanımının normal düzeyindeki zamanlar için ve genel olarak, UBR trafik hizmeti için transfer sırasında ATM paketleri (cell=paket) nin kaybolmadan ulaştırılması ve ardarda gönderilen iki paket arası gecikmenin belirli bir limit değeri aşmaması garantisi yoktur. ATM hizmetinin kullanılması için, kullanıcı tarafında bir ATM erişim cihazı ve bunun geniş alan ağı (WAN) tarafında uygun bir arayüz standartında port’u olmalıdır. ATM erişim cihazı, genellikle, WAN ATM arayüzü olan bir router olmaktadır. Özellikle ATM devre aracılığıyla Internet omurgasına bağlantı için, ATM kullanıcı tarafı cihazı böyle bir router olmalıdır. ATM port’u arayüz standart’ı E3 (34Mb/s), T3 (45Mb/s), OC3-STM-1 (155Mb/s), STM-4 (622Mb/s) gibi yüksek hızlı arayüz standartlarından biri olabilir. Teknik Özellikler CCITT’nin I.150 tavsiyelerinde ortaya koyulan ATM temel esasları aşağıdaki şu noktalarla özetlenebilir: ATM sabit uzunlukta paketler (cell) üzerine kurulu bir iletişim protokolüdür. Her hücre 48Byte’lık bir bilgi alanı (yük kısmı) ve 5Byte’lık bir başlık (header) kısmından oluşur (toplam 53Byte). Başlık kısmının ana amacı hücrenin ait olduğu sanal kanalı belirtmektir. Sanal Kanal (VC) içinde hücrelerin sıralaması uçtan uca değişmeden korunur. . ATM bağlantı temellidir (connection oriented). Bir bağlantıyı oluşturan bölümler içinde, ATM başlık kısmındaki değer, bağlantı süresince sabittir, değişmez. . ATM hücresinin bilgi taşıma alanı (yük kısmı), ATM ağı içinde değişime uğramaksızın taşınır. ATM şebekesi içinde, ATM İçindekiler hücresinin yük kısmına ilişkin hiçbir işlem/yorum yapılmaz. ATM şebekesi, taşıdığı yük için şeffaf (transparent) bir ortam gibidir. . Her türden sayısal tabanlı servis, veri, ses, video, ATM üzerinden taşınabilir. Farklı servisleri taşıyabilmek için bir “adaptasyon işlemi” uygulanır. Bu katmanda (Adaptation Layer), farklı servis türlerine ilişkin bilgilerin ATM hücrelerinin yük kısmına konulacak hale getirilmesi ve bazı servise özel işlevler yerine getirilir. ATM adaptasyonu katmanında en az işlem gerektiren yaklaşım, 5.türden ATM adaptasyon diye anılanıdır (AAL-5). Bu yaklaşımda, ATM’de taşınacak paketler sadece ATM hücrelerinin yük kısmına konulmak üzere 48Byte lık kısımlara parçalanır ve taşınan bilginin amaçladığı servise özgün hiç bir kalite garantili tedbir alınmaz. AAL-1,AAL-2, AAL-3 adaptasyon katmanı yaklaşımları ise, maksimum paket gecikmesi ve kayıpsız paket iletimi için garanti sağlamak amacıyla, daha karmaşık işlevleri de yerine getirmeyi üstlenirler. ADSL Ayrıntısıyla inceleyeceğimiz ADSL (Asymmetric Digital Subscriber Line / Asimetrik Sayısal Abone Hattı) teknolojisi aslında xDSL diye adlandırılan iletişim teknolojisi ailesinin bir üyesidir. xDSL ailesi uzak mesafeler arasında sıradan bakır kablolar (telefon hatları) üzerinden yüksek miktarda veri aktarımı yapmayı mümkün kılan teknolojiye verilen genel bir isimdir. Farklı türleri vardır ve baştaki “x” harfi bunu ifade eder (ADSL, VDSL vb.). Yukarıda kısaca değişik bağlantı şekillerini inceledik. Evimiz/işyerimizle bize İnternet hizmeti veren (kendisi çok hızlı hatlarla genel İnternet ağına bağlı) İnternet servis sağlayıcı (ISS) arasındaki veri aktarımının nasıl yapılacağıdır. Bunun için uydu, kablotv veya telefon hatlarını kullanabiliyoruz. Telefon hatları her yerde olması sebebiyle aslında en uygun seçenek. Herkesin evinde bir çift 66 67 ZyXEL Partner Eğitimleri – Netron Technology - 2008 telefon teli var, yolları kazıp yeni bir kablo döşemek (kablotv- çok pahalı ve zahmetli) veya uydu gibi pahalı bir yöntem yerine bu telefon hatlarını kullanmak en uygun seçenek gibi gözüküyor. Ancak ufak bir problem var. POTS (Plain Old Telephone Service – Düz Eski Telefon Hizmeti) denilen ve şu anda kullanmakta olduğumuz telefon şebekesi en başta –sadece- sesimizi taşımak üzere tasarlanmıştır. Şimdi bunu biraz daha açıklayalım. Telefonla konuşurken telefon ahizesindeki mikrofon sesimizi elektrik sinyaline çevirir. Bu elektrik sinyali analog bir sinyaldir, yani konuşurken yükselip alçalan, değişik tonlar alan sesimiz birebir elektrik sinyaline çevrilir. Bu sinyal telefon cihazından telefon hattına, oradan da bağlı olduğumuz telefon santraline kadar ulaşır. Şimdi, eğer aynı santrale bağlı diğer bir abone ile konuşuyorsak sesimiz hemen diğer abonenin hattına aktarılır, eğer diğer bir santrale bağlı bir abone ile görüşüyorsak, sesimizin diğer santrale aktarılması gerekir. Telefon santralinde sesimiz (analog elektrik sinyali halindeydi) dijitale çevrilir. Bu işlem Windows’taki “ses kaydedici” ile mikrofondan sesimizi kaydetmek gibi düşünülebilir. Dijitale çevrilen ses, bundan sonra, diğer binlerce telefon görüşmesiyle beraber dijital formatta yüksek kapasiteli veri hatlarıyla diğer santrale veya bir çok santralin bağlı olduğu bir merkez santrale gönderilir. Bu yöntemle tek bir kablo üzerinden (çoğu zaman fiber optik bir kablo) aynı anda binlerce telefon görüşmesi yapılmaktadır. İçindekiler Telefon sistemi tasarlanırken sadece ses iletimi göz önüne alındığından, normal bir insan sesinin 4000 Herzt frekansında çok fazla kayba uğramadan aktarılabileceği görülmüş ve telefon sistemi buna göre tasarlanmıştır. Bu sebeple, az önce bahsettiğimiz analogdan dijitale çevrim işlemi 4000 Hz veya 4 KHz ile örneklenmektedir (dijitale, yani 1 ve 0’a çevrilmektedir), bu frekansın üstünde kalan tüm sinyaller iptal olmaktadır (Windows ses kaydedici de, örnekleme ayarını 4000 Hertz’ getirip sesimizi kaydetmek gibi). Santral tarafında 4 Khz üstündeki frekansları yokeden bir filtre bulunmaktadır. Dial-up modemler, işte bu 4 KHz aralıkta ses sinyalleri göndererek (modem bağlanırken duyduğumuz sesler) karşı taraftaki modemle haberleşirler.Bilgisayardaki dijital bilgi modem tarafından ses sinyaline (analog) çevrilir, telefon hatlarından gönderilir, karşı taraftaki modem ise bu sesleri tekrar dijital bilgi haline çevirir. Ses sinyalleri bu 4 kHz’lik aralık içinde olmak zorundadır, çünkü üstündeki frekanslar santralde direkt filtrelenmekte yani yok olmaktadır. 4 KHz’lik bu aralıkta gönderilebilecek maksimum veri 28.800 bit/saniye’dir. Bir word dosyasını önce normal, sonrada zipleyip göndermeyi denerseniz, zip'li dosyanın boyutu daha küçük olduğu için daha hızlı gittiğini görürsünüz. Siz zip'lide olsa, açık da olsa bir dosya gönderirken, bir web sitesinde gezerken, kısacası her türlü veri aktarımında, modeminiz aktarılan veriyi sıkıştırma teknikleriyle sıkıştırarak gönderip/almaya çalışır. Ancak gönderilen dosya türüne göre bu sıkıştırma az yada çok etkili olabilir. Zaten sıkışıtırılmış bir zip dosyası 3 Kilobayt/saniye hızında indirilirken, tamamen tekst bir dosyayı indirdiğinizde hızın birden 12-15 KB/Sn'ye çıktığını görebilirsiniz, aslında olan şey modeminizin açık bir text dosyayı çok iyi sıkıştırabilmesi ve toplamda gönderilen/alınan veri miktarının birden artmasıdır. Günümüzde satılan tüm dial-up modemler 56.000 bps hızında çalışabilmektedir (pratikte sağlanan bağlantı hızları daha düşük olsa da). İşte modemler içindeki sıkıştırma teknikleri, gönderilen her veriyi belli bir oranda sıkıştırarak gönderdiği için 28.000 bps hızındaki bağlantı üzerinde, daha fazla veri göndermek mümkün olmaktadır. 68 69 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Evimize gelen bakır kablo aslında çok daha yüksek frekanslarda veri taşıyabilir. DSL’in yaptığı da işte bu 4 KHz’lik bölümün üstündeki frekanslarda veri aktarımı yapmaktır. Telefon hattımız “adsl’e açılırsa”, santral tarafında evimizden gelen hat bir ayırıcı ile iki hat haline getirilip, bir ucu eski sisteme (POTS), diğer ucu ise DSLAM adı verilen cihaza bağlanıyor. Böylece ilk 4 KHz’lik ve sesimizi taşıyan frekans bandı eski telefon sistemine giderken, bunun üstündeki frekanslar ise bize DSL bağlantısını sağlayan DSLAM cihazına ulaşıyor. xDSL bir iletim teknolojileri ailesidir demiştik, ortalama bir ev kullanıcısının İnternet kullanım alışkanlığı daha çok download eğilimlidir. Buna karşın İnternete doğru veri gönderimimiz daha azdır (mail göndermek, web sitesi yapıyorsak upload etmek vb.). Bunu göz önüne alan mühendisler, 4 kHz’nin üstünde kalan alanı asimetrik olarak bölmüşler, download’a daha fazla frekans aralığı bırakmışlar ve ADSL doğmuş. İçindekiler Bunun sonucu olarak, ADSL bağlantısı seçenekleri 128/32, 256/64, 512/128, 1024/256 ve 2048/512 gibi download/upload hızları farklı olarak karşımıza çıkmaktadır. Yukarıdaki grafikte bakır telefon telinin taşıdığı frekans aralığını görüyorsunuz. İlk 4 kHz’lik alan, dediğimiz gibi, POTS olarak yani ses iletimi için kullanılıyor. Daha sonra biraz boşluk bırakılmış ve UPSTREAM yani veri gönderimi için kullanılan frekans aralığı, biraz boşluk ve diğerlerinden daha geniş bir DOWNSTREAM yani veri indirimi aralığı söz konusu. İnternet’e bağlıyken dahi telefon görüşmesi yapabildiğimizi burada görüyoruz. Çünkü ses ve veri iletimi farklı frekanslarda yapılıyor. İnternet bağlantımız telefon konuşması için ayrılan alana hiç girmiyor, aynı şekilde, telefon görüşmesi yaptığımız frekans aralığı İnternet için ayrılandan farklı. Şimdi de ADSL’in avantaj ve dezavantajlarını özetleyelim: Avantajlar • Yüksek hızda İnternet bağlantısı. • 7/24 kesintisiz bağlantı. • Daha düşük ping süreleri (On-line oyunlarda daha iyi sonuç). • Telefon hattından bağlanmasına rağmen, İnternet’i kullandığınız anda dahi telefonunuz meşgul gözükmez, hem İnternet’i hem de telefonu aynı anda kullanabilirsiniz. • İlk yatırım maliyeti diğer hızlı İnternet seçeneklerine göre düşüktür (Uydu v.b). • Ülke genelinde ve dünyada en yaygın ve en basit seçenektir. 70 71 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Dezavantajları • Dial-up’a göre pahalıdır, ancak her gün belli bir saatin üstünde bağlandığınız zaman kara geçebilirsiniz. • Telefon hatları üzerinden sağlanan bir hizmettir ve bir takım sınırlamaları vardır. Eğer eviniz/iş yeriniz telefon santraline belli bir mesafeden daha uzaksa (dolayısı ile aranızdaki telefon teli daha uzunsa), telefon teli düşük kalitede veya bazı noktalarında hasar görmüşse bağlantı sağlanamaz veya sık sık problem yaşanır. • Halen bazı bölgelerde Telekom bu hizmeti verememektedir. G.SHDSL G.SHDSL, veri alma ve yükleme hızlarının birbirine eşit olduğu özel bir DSL bağlantısı türüdür. Çoğunlukla internette çeşitli noktalarda bulunan sunuculara veya kullanıcılara bilgi göndermek veya web sunucum üzerinden yayın yapmak (upload) için uygun bir çözümdür. Eğer 2 Mbps bağlantı hızı sizin için yeterli değilse veya internet bağlantısını pek çok çalışanınız bölüşecekse, Metro Ethernet kurumunuza daha uygun bir çözüm olacaktır. G.SHDSL teknolojisini kullanarak noktadan noktaya bağlantılarda veya internet bağlantılarında kullanabilirsiniz. Eğer noktadan noktaya bağlantı yapmak istiyorsak teknik olarak bir noktada 8 uç tanımı yapılabilir. Bir noktadan birden fazla noktaya bağlantı yapmak istiyorsak o zaman çoklu uçta F/R, ATM yada Metro Ethernet olmalıdır. İçindekiler Aşağıdaki şekilde G.SHDSL in kullanım amaçlarının ADSL ile karşılaştırılması verilmiştir. G.SHDSL'in Avantajları Yatırım Maliyeti Avantajı : Modem/Router gibi donanım yatırımı oldukça düşüktür. Uçtan Uca Hız Garantisi ve Simetrik İletişim : Simetrik yapıda olması nedeniyle upload ve download hızları aynıdır. Uç noktalardan merkeze doğru olan trafik kapasitesi ile merkezden uç noktalara olan kapasite aynıdır. Standartlara Uygunluk : Uzak ofis ve ofisler arasında veri, ses ve görüntü uygulamalarında uluslararası standartlara uygundur. Standart İletim Hızı : Geliştirilmiş iletim hızı sayesinde ofisler arası yüksek hızda bağlantı sağlar. Tek hat (bir çift tel) üzerinden 2 Mbps iletim hızını desteklemektedir. Uygulama Avantajı : Uç noktalardan merkeze doğru olan trafik kapasitesi ile merkezden uç noktalara olan kapasite aynıdır, dolayısıyla video, audio vb. uygulamalar için çok uygundur. Hız Artırımlarında Yatırım Maliyeti : Hız artırımı talep edildiğinde modem, router ve router arayüz değişikliklğine gerek kalmaz. 72 73 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Metro Ethernet Metropolitan alanda müşteri lokasyonu ile Türk Telekom Metro şebekesi arasında, F/O kablo üzerinden yüksek bant genişliği ile ölçeklenebilir, esnek ve düşük maliyetli her türlü veri akışına imkan sunan bir teknolojidir. ¬ Son kullanıcıya 1 Gbps’lere kadar bant genişliği sağlayabilen, ¬ Diğer teknolojilerden farklı olarak protokol dönüşümlerine ihtiyaç duymadan uçtan uca ethernet kullanan, ¬ Ucuz ve kaliteli İnternet ve veri iletişimi için tasarlanmış, ¬ Sadece günümüzün değil geleceğin de kapasite ve hız ihtiyacını sağlayabilecek bir teknolojidir. FİBER ALTYAPININ FAYDALARI • Günümüzde veri transferi için kullanılan altyapılar bakır şebekeye bağımlı olup hız ve mesafe bakır kablonun fiziksel özellikleri ile sınırlanmıştır. Bu durum yüksek bant genişliği gerektiren katma değerli servisleri sınırlamaktadır. İçindekiler • Fiber kablo altyapısının erişimde kullanımının yaygınlaştırılması birçok katma değerli hizmetin verilebileceği platformlar oluşmasını sağlayacaktır. • Fiber altyapı üzerinden erişimde hatlardan kaynaklanan fiziksel problemler asgariye indirilmiş olacaktır. • Metro Ethernet hizmetinde hedef kitle, is ve uygulamalarından dolayı yüksek bant genişliği ihtiyacı bulunan kuruluslardır. – – – – – – – – Kamu kurumları Orta ve büyük ölçekli işletmeler Plazalar Üniversiteler Finans kurumları Plazalar, Alışveriş merkezleri Büyük Oteller, Turizm Merkezleri Belediyeler vs… AVANTAJLAR: • • • • • • • • Yüksek hızda internet ve veri iletimi. LAN-WAN bağlantılarında geniş bant imkanı. Bağlantı hızlarında geniş seçim aralığı. Uçtan uca tek protokol. Kullanım kolaylığı (Tak – Çalıştır) Kolay ve esnek bant genişliği değişiklikleri. ATM, F/R ve TDM’den ucuz teknoloji. Müşteri tarafında SDH ve Modem vs. gibi ek yatırımlar gerekmemektedir. 74 75 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ZyWALL USG Serisi ZyWALL USG Serisi bir firewall olmanın ötesinde tümleşik güvenlik çözümleri sunan gelişmiş özelliklere sahip, küçük ve orta büyüklükteki işletmelerden büyük işletmelere kadar firmaların ihtiyaçlarını sağlayabilecek modelleri bulunan bir cihazdır. ZyWALL’un desteklediği güvenlik çözünleri arasında VPN, firewall, anti-virüs, içerik filitreleme, IDP (atak tespit ve engelleme), ADP (Anormal durum tespit ve koruma) , sertifika desteği, bandgenişliği yönetimi, IM (Instant messaging) ve P2P (Peer to Peer) kontrolü, NAT, Port yönlendirme, policy routing, yüksek erişilebilirlilik gibi gelişmiş özellikler bulunur. İki adet WAN çıkışı sayesinde internet erişimini yedekleme ve bağlantılar arasında yük paylaşımı yapma olanağı sağlar. Aynı zamanda üçüncü bir WAN bağlantısı olarak 3G celluar card kullanılabilinir ve bu sayede GSM şebekisi üzerinden 3G teknolojisi kullanılarak internet erişimi gerçekleştirilebilinilir. ZyWALL üzerinde bulunan LAN, WLAN, DMZ, OPT gibi portlar sayesinde networkün bölümlendirilmesine ve farklı şekillerde yetkilendirilmesine olanak sağlar. Şimdi yukarıda özet olarak bahsettiğimiz ZyWALL’un özelliklerini detaylı bir şekilde inceliyelim ve bu özelliklerin ZyWALL üzerinde uygulanışını gösteren örnek uygulamalar yapalım. Not: Özellikler ve örnek uygulamalar ZyWALL USG 200 serisi baz alınarak yazılmıştır. Farklı modellerdeki konfigürasyon işlemleri benzer olsada özellikler arasında farklılıklar bazı farklılıklar vardır. Bu farklılıklarla ilgili detaylı bilgi edinmek için “ZyWALL USG model karşılaştırmaları” başlığına bakabilirsiniz. ZyWALL USG Serisi Özellikleri Firewall Firewall özelliği sayesinde ZyWALL üzerinde farklı arayüzlerde bulunan networkler arasında trafik filitrelemesi yapılabilir. Trafik filitrelemesini kaynak İçindekiler IP adresi, hedef IP adresi, protokol, ya da port numarası gibi kriterlere göre yapmak mümkündür. Sabit port numarası kullanan uygulamalara erişimi yasaklamak için firewall özelliği kullanılabilir. Örneğin LAN arayüzüne bağlı kullanıcıların internet üzerindeki herhangi bir ftp sunucusa bağlanabilmeleri istenmiyorsa bu işlem kolay bir şekilde gerçekleştirilebilir. Yukardaki şekilde de görülebildiği gibi ZyWALL default konfigürasyonu ile iç networkten WAN ve DMZ networklerine erişime izin verirken, WAN ya da DMZ networkünden LAN tarafına bağlantı içerden başlatılmadığı takdirde geçişe izin vermez. Örnek olarak LAN1 networkündeki 1 numaralı kullanıcı WAN ya da DMZ tarafına bir telnet bağlantısı gerçekleştirebilir. Fakat WAN ya da DMZ tarafındaki bir kullanıcı default olarak LAN1 tarafına telnet ile bağlanamaz. DMZ internet üzerinden erişilebilmesini istediğimiz sunucuları konumlandırdığımız networktür. Bu yüzden DMZ ile WAN arayüzleri arasında iletişime default olarak izin verilmiştir. İç networkün güvenliğini sağlamak için DMZ networkünden LAN networküne geçişe izin yoktur. Yukarda belirttiğimiz bu default kuralları değiştirmek ya da farklı kurallar tanımlayarak arayüzler arasında trafiğin geçişine izin vermek ya da yasaklamak mümkündür. 76 77 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Firewall konfigürasyonunu kolaylaştırmak amacıyla “zone” tanımlamaları yapılabilir. Mesala WAN1 ve WAN2 arayüzlerinin ikisinide internet erişimi için kullanıyor olalım. LAN arayüzündeki kullanıcıların internete ftp erişimlerini yasaklamak istiyoruz. Normal de bu işlemi gerçekleştirmek için LAN tarafından WAN1 tarafına ve LAN tarafından WAN2 tarafına iki kural tanımlamamız gerekir. Oysa zone özelliği sayesinde WAN1 ve WAN2 arayüzlerini internet isimli tek bir zone’nun üyesi yaparsak, LAN arayüzünden internet zone’nuna tek bir kural tanımlamamız yeterli olacaktır. Virtual Private Networks (VPN) VPN firmaların kendilerine özel noktadan noktaya bağlantıları olmadan internet gibi herkeze açık ve güvensiz ortamlar üzerinden güvenli bir şekilde iletişim kurmalarına olanak sağlayan bir teknoloji. Kimlik doğrulama, tünelleme ve şifreleme gibi işlemler sayesinde güvenli iletimi mümkün kılıyor. Günümüzde servis sağlayıcıların vermiş olduğu hizmetlere baktığımızda internet bağlantı ücretlerinin noktadan noktaya bağlantı ücretlerine göre çok daha düşük olduğunu görüyoruz. Bu yüzden bir çok firma lokasyonları arasında noktadan noktaya bağlantılar almak yerine mevcut internet bağlantıları üzerinden VPN tünelleri kullanarak lokasyonları arasındaki iletişimi sağlamaktadır. VPN teknolojisi sadece şubelerle merkez ofis arasındaki iletişimi sağlamak amacıyla kullanılan bir teknoloji değildir. Aynı zamanda kullanıcıların evlerinden ya da bulundukları herhangi bir noktadan şirket networküne güvenli bir şekilde erişimine olanak sağlayan bir teknolojidir. Kullanıcıların uzaktan sanki şirket içindeki bir bilgisayardan çalışıyorlarmış gibi network kaynaklarına erişimine olanak sağlar. İki şube arasında kurulan VPN tünele Site-to-Site VPN, kullanıcıların şirket networküne erişmesini sağlayan tünele ise Remote Access VPN ismi verilir. Site-to-Site VPN İçindekiler Remote Access VPN ZyWALL USG serisi firewall’lar site-to-site ve remote access VPN desteğine sahiptir. Üç farklı VPN tünel kurulumu gerçekleştirmek mümkündür. IPSec VPN SSL VPN L2TP VPN IPSec VPN: Bir Site-to-Site VPN tüneli kurmak için kullandığımız VPN türüdür. Farklı lokasyonlarda bulunan ZyWALL’lar arasında bir IPSec VPN tüneli kurulabilir. Uç noktalarda illaki bir ZyWALL olmasına gerek yoktur. IPSec VPN desteği olan bir ADSL modem (ZyXEL 662HW gibi) ile ZyWALL arasında da bir IPSec VPN tüneli kurmak mümkündür. SSL VPN: Remote Access VPN kurmak için kullanabileceğimiz yöntemlerden biridir. Kullanıcı tarafında ek bir yazılım gerektirmeden, bir web arabirimi 78 79 ZyXEL Partner Eğitimleri – Netron Technology - 2008 üzerinden kullanıcının VPN tünel başlatmasına olanak sağlar. İki farklı çalışma mod’u vardır. 1. Reverse Proxy Mode: Bu mod’da ZyWALL kullanıcının tam olarak iç network’e erişimine izin vermez. Önceden belirtilen web tabanlı uygulamalar kullanıcının karşısına bir liste şeklinde çıkar ve erişim tanımlanmış olan bu uygulamalarla sınırlıdır. 2. Full Tunnel Mode: Kullanıcının iç networkten bir IP adresi aldığı ve iç networkteki bir bilgisayarmış gibi yetki sahibi oldugu SSL VPN türü. L2TP VPN: L2TP VPN kullanıcıların bilgisayarlarında bulunan L2TP ve IPSec client yazılımlarını kullanarak şirket networküne bir remote access VPN başlatmasına olanak sağlayan VPN türüdür. Kullanıcının ek bir cihaz ya da yazılım kullanmasına gerek yoktur. Windows’un kendi VPN yazılımını kullanarak bağlantı gerçekleştirmek mümkündür. IDP (Atak Tespit ve Engelleme) ZyWALL IDP özelliği sayesinde networkümüz için zararlı olan trafiği tespit edebilir ve networke girişini engelleyebilir. 4. katmandan 7. katmana kadar paketler detaylı şekilde incelenerek ZyWALL üzerindeki imzalar ile karşılaştırılır ve paketlerin zararlı olup olmadığı bu şekilde anlaşılır. IDP özelliği sayesinde DOS/DDOS, Scan, Buffer Overflow, Virus/Worm, Backdoor/Trojan, Access Control, Web atakları gibi bir çok atak tespit edilebilir. Anti-Virüs Anti-Virüs özelliği sayesinde virüslerin bilgisayarlara erişmeden network girişinde ZyWALL üzerinde tespit edilmesini ve iç networke erişiminin yasaklanmasını sağlayabilirsiniz. ZyWALL, anti-virüs ürünleri ile dünyaca ünlü Kaspersky firmasının virüs database’ini kullanmakta olup bu database’in üyelik ile internetten otomatik olarak güncellenmesi sağlanabilir. ZyWALL aşağıda belirtilen trafiği virüslere karşı denetliyebilir. • FTP İçindekiler • HTTP • SMTP • POP3 • IMAP4 Anti-Spam Anti-Spam özelliği sayesinde spam mail’lardan kurtulmak artık mümkün. ZyWALL, gelen mail’lardaki göndericileri DNS Black List’ler üzerinden denetliyerek mail’ın spam olup olmadığını denetliyebilir, ve bu sayede mail sunucularının spam mail’lar ile dolmasını engeller. SMTP ve POP3 trafiği spam maillara karşı taranabilir. Content Filtering (İçerik Filitreleme) İçerik filitreleme özelliği sayesinde networkünüzdeki kullanıcıların web erişimlerini denetliyebilir ve istenmeyen sayfalara erişimlerini yasaklayabilirsiniz. Yasaklanmak istenen sayfalar tek tek tanımlanabildiği gibi istenirse bir içerik türü tümüyle yasaklanabilir. Mesala bir firma, çalışanlarının facebook gibi arkadaşlık sitelerine, cinsel içerikli sitelere, ve kumar sitelerine erişimini yasaklamak istiyor. Bu tür sitelerin hepsinin tek tek yasaklanması yerine, ZyWALL üzerinden yasaklanmak istenilen bu içerik türlerinin seçilmesi yeterli olacaktır. ZyWALL, internet üzerindeki bir sunucudan erişilmeye çalışılan sayfanın içeriğini sorgulayacak, ve yasaklanan içerik türlerinden biri olmadığı takdirde bağlantıya izin verecektir. Bu üyelik gerektirin ücretli bir servistir. Application Patrol Bu özellik sayesinde ZyWALL MSN messenger gibi instant messenger (IM) uygulamalarının, Kazaa, e-donkey gibi peer-to-peer (P2P) uygulamalrının, voice over IP (VoIP) uygulamalarının ve streaming (RSTP) uygulamalarının kullanımını denetliyebilir, yasaklıyabilir. Hatta bu uygulamalardaki sadece belirli özelliklerin (mesajlaşma, ses, video görüsmesi, dosya transferi gibi) bile denetlenmesi mümkündür. Aynı zamanda Application Patrol özelliği ses ve video gibi gecikmeye duyarlı trafiğin önceliklendirilmesini ve bu uygulamaların daha verimli çalışmasını sağlayabilir. 80 81 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Bandwidth Management (Bandgenişliği Yönetimi) Bandgenişliği yönetimi network kaynaklarının tanımladığımız kurallar doğrultusunda kullanılmasını, bu sayede band genişliğinin e-mail, web erişimi, VoIP, video konferans gibi uygulamalar arasında istediğimiz şekilde bölümlendirilmesini sağlar. High Availability (Yüksek Erişebilirlilik) Internet erişiminin sürekliliğinin sağlanabilmesi için ZyWALL üzerinde gerçekleştirebileceğimiz bir kaç işlem var. Bunları şu sekilde sıralayabiliriz; • Birden fazla WAN arayüzünü aynı anda kullanıp trafiğin bu WAN arayüzlerinde yük paylaşımı yapmasını sağlamak • Bir ya da daha fazla sayıda 3G bağlantısı kullanmak • Auxiliary arayüzünden yedek bir dialup bağlantısı oluşturmak • ZyWALL’da bir sorun çıkma olasılığına karşın yedek bir ZyWALL kullanmak. Yedek bir ZyWALL kullanmamız durumunda Active-Passive ve Legacy mode olmak üzere iki farklı yedekleme seçeneğimiz bulunuyor. Active-Passive mode’da ZyWALL’lardan birisi tamamen yedek olarak duruyor ve aktif olarak çalışan ZyWALL’da bir sorun çıkması durumunda devreye giriyor. Legacy mode’da ise iki ZyWALL’da aynı anda çalışarak yük paylaşımı gerçekleştiriyorlar. Karışık bir konfigürasyon gerektirdiğinden önerilen ActivePassive Mode yedeklemesinin kullanılmasıdır. İçindekiler ZyWALL Konfigürasyon Örnekleri: ZyWALL USG serisi cihazların konfigürasyonlarını gerçekleştirmek için kullanabileceğimiz en temel yol cihazlara web arabiriminden erişmektir. Web arabirimi üzerinden yapmak istediğimiz tüm işlemleri eksiksiz bir şekilde gerçekleştirmek mümkün. Öncelikli olarak bilgisayarımızın ethernet portundan ZyWALL’un LAN arayüzüne bir ethernet bağlantısı gerçekleştirmemiz gerekiyor. Default olarak P4,P5 numaralı portlar LAN arayüzü için ayrılmış olan portlardır. ZyWALL’un LAN arayüzünün default IP adresi 192.168.1.1 olarak ayarlanmış durumda, ve bu arayüzde çalışan DHCP server sayesinde bilgisayarımız 192.168.1.0 networkünden bir IP adresini otomatik olarak alacaktır. Eğer bilgisayarımız IP adresini otomatik olarak alamıyorsa TCP/IP ayarlarını kontrol ederek IP adresini otomatik al seçeneğinin seçili olup olmadığını denetliyebiliriz. ZyWALL üzerinde önceden yapılmış konfigürasyonlar varsa LAN arayüzünün IP adresi değiştirilmiş ya da DHCP server kapatılmış olabilir. Böyle bir durumda reset tuşuna basılı tutarak cihazın fabrika ayarlarına geri dönüş yapması sağlanabilir. Bilgisayarımız ZyWALL’dan IP adresini aldıktan sonra tek yapmamız gereken Internet Explorer gibi bir web browser kullanarak http://192.168.1.1 adresine bağlanmak olacaktır. Çoğu ZyXEL ürününde olduğu gibi default kullanıcı adı: “Admin” password: “1234” kullanılarak cihaza erişim sağlanabilir. 82 83 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Interface Rollerinin Değiştirilmesi ZyWALL üzerinde port rolleri default olarak aşağıdaki tabloda gördüğümüz şekilde bölümlendirilmiş durumdadır. Görüldüğü gibi ZyWALL üzerinde bulunan 7 adet ethernet arayüzü 6 farklı network olarak bölümlendirilmiş durumda. Farklı networklere bağlı 2 adet WAN arayüzü, switch gibi çalışan 2 adet LAN arayüzü, kablosuz networklere bağlamak üzere 1 adet WLAN arayüzü, Internet üzerinden erişelecek İçindekiler serverlarımızın konumlandırılması için 1 adet DMZ arayüzü, ve istersek bir WAN istersek ayrı bir LAN, DMZ, ya da WLAN arayüzü olarak kullanabileceğimiz bir OPT arayüzü. İhtiyaçlarımıza göre bu ethernet arayüzlerinin rollerini değiştirebiliriz. Yapmamız gereken Network > Interface > Port Role menüsünden port rollerini belirtmek. WAN Arayüzünde PPPoE konfigürasyonu Internet erişimi için ADSL bağlantısı kullandığımızı düşünelim. ADSL modemin LAN arayüzünden ZyWALL’un WAN arayüzüne bir ethernet bağlantısı yaptık. Böyle bir durumda modemi routing mode’da çalıştırmak yerine modemi bridge mode’da çalıştırıp gerçek IP adresini ZyWALL’un almasını sağlamamız daha iyi olacaktır. Modem tarafında yapmamız gereken tek şey modemin WAN ayarlarının yapıldığı menüden protocol olarak RFC1483 Bridge modu seçmek olacak. ZyWALL tarafında ise yapacağımız işlemler şu şekilde; Network > Interface > PPP menüsüne giriyoruz. 84 85 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Bu menüde PPPoE bağlantısı gerçekleştirebileceğimiz arayüzleri görüyoruz. WAN1, WAN2, ve OPT arayüzleri. Modemi WAN1 arayüzüne bağladığımızı düşünürsek, yapmamız gereken işlem 1. Satırdaki “Modify” sütunu altında yer alan “Edit” simgesine tıklamak. Bu PPPoE ayarlarının yapıldığı yeni bir sayfanın açılmasını sağlayacaktır. Gerekli ayarları gerçekleştirdikten sonra “Edit” simgesinin yanında yer alan “Active” butonuna basarak WAN arayüzünü aktif hale getirmemiz gerekiyor. Edit simgesine bastığımızda aşağıdaki gibi bir ekran açılacaktır. Bu ekranda öncelikli olarak “Enable Interface” kutusunu seçili hale getirecez. Bu bağlantının çalışır hale gelmesini sağlayacaktır. “Nailed-Up” kutusunu işaretlersek bağlantı sürekli açık kalacaktır. “Protocol” kısmından PPPoE’yi seçiyoruz ve hemen altına ADSL bağlantısı için kullanılan kullanıcı adı ve şifre bilgilerini yazıyoruz. IP adresi static dahi olsa “Get Automatically” seçeneği işaretli olacak. Eğer birden fazla internet bağlantımız varsa ve bu bağlantılar arasında yük paylaşımı yapılmasını istiyorsak en aşağıdaki “Add this interface to WAN TRUNK” kutusunu işaretliyoruz. Geri kalan ayarlar oldukları gibi bırakılabilir. “OK” tuşuna bastığımızda internet bağlantımız çalışır hale gelecektir. İçindekiler 86 87 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Zone Konfigürasyonu Daha önce Zone terimi hakkında kısaca bilgi vermiştik. ZyWALL üzerinde firewall kuralları tanımlarken tanımladığımız bu kuralların giriş ve çıkış arayüzlerini belirtmek durumundayız. Mesela iç networkteki bir kullanıcının internet üzerindeki herhangi bir yere telnet ile erişimini yasaklamak istiyorsak LAN’dan WAN’a doğru bir kural tanımlamamız gerekiyor. Ya da DMZ’teki bir kullanıcının iç networke erişimine izin veren bir kural tanımlamak istediğimizde DMZ’ten LAN’a (DMZ to LAN) doğru bir kural tanımlamalıyız. İç network olarak 3 farklı arayüz kullandığımızı düşünelim. LAN, WLAN, ve OPT. Internet bağlantısı içinde 2 farklı arayüzümüz olsun; WAN1 ve WAN2. Bu durumda iç networkten internete bir yasaklama yapmak için LAN’dan WAN1’e, LAN’dan WAN2’ye, WLAN’dan WAN1’e, WLAN’dan WAN2’ye, OPT’den WAN1’e ve OPT’den WAN2’ye tanımlama yapmamız gerekecek. Yani aynı kuralı 6 kere farklı arayüzler arasında tek tek tanımlamak durumunda kalacağız. Zone konfigürasyonu sayesinde arayüzleri gruplandırabilir ve firewall kurallarını zone’lar arasında tanımlıyabiliriz. Örnek; LAN, WLAN, ve OPT arayüzlerini LAN isimli bir zone’a üye yaptık. WAN1 ve WAN2 arayüzlerini WAN isimli bir zone’a üye yaptık. Yukarda 6 kural tanımlayarak yaptığımız yasaklama işlemini burda sadece LAN zone’nundan WAN zone’una giden tek bir kural tanımlayarak gerçekleştirebiliriz. Zone tanımlamalarını Network > Zone menüsü altından gerçekleştiriyoruz. İçindekiler Şekilde de görüldüğü gibi zaten default olarak tanımlanmış olan zone’lar bulunuyor. Modify sütunundaki “Edit” butonundan zone üyelikleri ile ilgili değişiklikler yapabiliriz. “Edit” butonuna tıkladığımızda açılan menüde sol taraftaki “Available Interface” başlığı altında bu zone’a üye yapabileceğimiz arayüzleri görüyoruz. Eğer bir arayüz başka bir zone’a üye ise bu listede görünmeyecektir. “Member” başlığı altında da bu zone’a üye olan arayüzleri görüyoruz. Ok tuşlarını kullanarak istediğimiz arayüzü bu zone’a üye yapabilir ya da üyelikten çıkartabiliriz. “Block Intra-zone Traffic” kutusunu işaretlersek bu zone grubuna üye olan arayüzler arasındaki iletişimi yasaklamış oluruz. 88 89 ZyXEL Partner Eğitimleri – Netron Technology - 2008 DDNS Konfigürasyonu Diyelimki static bir IP adresimiz yok. Fakat uzaktan networke erişmemiz gerekiyor. IP adresi sürekli değiştiği için mevcut IP adresini sürekli kontrol edip ezberlemek olanaksız. İşte Dynamic DNS (DDNS) özelliği bu durumlar için ideal. Internet üzerinde ücretsiz sub domain ismi temin edebileceğimiz firmalar var. Bu firmalar aldığımız domain ismini bizim IP adresimize yönlendiriyorlar. Tabi IP adresimiz değiştiğinde bu bilginin ilgili yere iletilmesi gerekiyor. İşte ZyWALL’un gerçekleştirdiği işlem bu. Dynamic DNS hizmetini aldığımız firma, ve üyelikle ilgili bir takım bilgileri ZyWALL üzerinde ayarlıyoruz, ve IP adresimiz değiştiğinde bu bilgi otomatik olarak ilgili yere bildiriliyor. Böylece sürekli IP adresimizi bilmek durumunda kalmıyoruz. Aldığımız domain ismini bilmemiz yetiyor. Mesela www.no-ip.com adresinden gurcan.no-ip.com gibi bir sub-domain ismi aldım. ZyWALL üzerinde gerekli ayarları yaptıktan sonra artık IP adresimin değişmesi durumunda dahi internet üzerinde herhangi bir noktadan gurcan.no-ip.com adresine bağlanmaya çalıştığımda benim o anki adresime yönlendirilecektir. Bu servisten yararlanabilmek için öncelikli olarak internet üzerinde bu hizmeti veren sitelerden birine kayıt yaptırmak ve bir domain adı almak zorundayız. Bu hizmeti ücretsiz olarak veren ve ZyWALL’un desteklediği siteler şu sekilde; www.dyndns.com www.dynu.com www.no-ip.com www.oray.cn ZyWALL tarafında yapmamız gereken konfigürasyon ise şu sekilde; Network > DDNS menüsü altında Add tuşuna basıyoruz. İçindekiler Açılan ekranda “Enable DDNS Profile” kutusunu işaretliyerek tanımlamayı aktif hale getiriyoruz. “Profile Name” kısmına herhangi bir isim veriyoruz. “DDNS Type” kısmından hizmeti aldığımız siteyi seçiyoruz. “Username” ve “Password” kısımlarına siteye üye olurken kullandığımız kullanıcı adı ve şifre’yi yazıyoruz. “Domain name” aldığımız domain ismi, gurcan.no-ip.com gibi. Son olarak “Primary Binding Address” kısmından interface olarak internet bağlantımızın olduğu arayüzü seçiyoruz, WAN1 gibi, ve “OK” tuşuna basıyoruz. 90 91 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Port Yönlendirmesi (Virtual Servers) Genel network yapımızı düşünecek olursak, iç network’te 192.168.1.X gibi yerel IP adreslerini kullanıyoruz. Internet erişimi için kullandığımız gerçek IP adresleri ise ZyWALL’un WAN arayüzlerine atanmış durumda. İç networkteki kullanıcılar ZyWALL tarafından NAT’lanarak internete erişiyorlar. Eğer iç networkümüzde ya da DMZ networkümüzde internetten erişilmesi gereken sunucularımız varsa bu sunuculara erişilebilmesi için port yönlendirmesi yapmamız gerekiyor. Mesela LAN networkünde 192.168.1.21 IP adresine sahip bir mail sunucumuz olsun. Bu sunucuya internetten erişilebilmesi için ZyWALL’un WAN1 arayüzünün TCP 25 numaralı portuna gelen trafiğin LAN arayüzündeki 192.168.1.21 IP adresinin 25 numaralı portuna yönlendirilmesi gerekiyor. ZyWALL üzerinde bu işlemi gerçekleştirmek için Network > Virtual Server menüsüne giriyoruz ve yeni bir port yönlendirmesi eklemek için “Add” tuşuna basıyoruz. İçindekiler Açılan menüde “Enable Rule” kutusunu işaretliyoruz, ve “Rule Name” kısmından oluşturduğumuz bu yönlendirme kuralına henhangi bir isim veriyoruz. “Incoming Interface” wan1 olarak seçilecek. “Original IP” any, “Mapped IP” kısmında “User Defiened” seçeneğini seçerek alttaki kutuya serverın IP adresini yazıyoruz. “Port Mapping Type” Port olarak seçilecek. “Protocol Type” TCP ve “original Port” ile “Mapped Port” kısmına sunucunun dinlediği port numarası yazılacak. Bizim örneğimizde iç networkte bir mail sunucumuz olduğu için 25 numaralı portu yönlendirdik. Eğer bir web serverımız olsaydı buraya port numarası olarak 80 yazacaktık. Dikkat etmemiz gereken nokta bir port yönlendirmesi yaptığımızda aynı zamanda bu bağlantıya izin veren bir firewall kuralı tanımlamalıyız. Aksi taktirde firewall bu erişimi yasaklayacaktır. 92 93 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Firewall Kurallarının Tanımlanması Firewall menüsünden farklı networkler arasında iletişime izin veren ya da yasaklayan kurallar tanımlayabileceğimizi söylemiştik. Firewall kuralları tanımlarken trafiği belirtmek için kaynak IP, hedef IP, Protocol, Port No, ve Kullanıcı Adı gibi değerleri kullanabiliriz. Bir örnek üzerinde nasıl firewall kuralları oluşturduğumuzu inceliyelim. Diyelimki iç network’te internetten erişilmesi gereken bazı bilgisayarlarımız var. Default kuralları hatırlayacak olursak WAN tarafından LAN tarafına geçiş yasaktır. Bu yüzden bu trafiğe izin veren bir kural eklememiz gerekiyor. Internetten erişilmesini istediğimiz bilgisayarların IP adresleri 192.168.1.10 ile 192.168.1.15 aralığında, ve erişilmesini istediğimiz port numarası TCP 12345 olsun. Tanımlayacağımız kural WAN’dan LAN’a doğru olacak. Kaynak IP önemli değil, internetteki herhangi biri olabilir. Hedef IP aralığı 192.168.1.10 192.168.1.15 ve hedef port numarası TCP 12345. Konfigürasyonu aşağıdaki gibi yağacağız. Öncelikli olarak Firewall menüsüne giriyoruz ve yeni bir kural eklemek için “Add” ikonuna basıyoruz. İçindekiler Açılan ekranda “From” kısmında WAN’ı ve “To” kısmında LAN1’i seçiyoruz. (WAN’dan LAN’a doğru bir kural tanımlıyoruz) “Destination” kısmında --create object—seçeneğini işaretliyoruz. Böylece hedef IP aralığını tanımlayabiliriz. Aynı şekilde “service” kısmı da “create object” olarak seçiliyor. Bu trafiğe izin verileceği için “Access” kısmında “Allow” seçili olacak. Create Object seçeneğini seçtiğimizde hedef IP adresini belirleyeceğimiz bir pencere açılacak. “Name” kısmına herhangi bir isim veriyoruz. Bir IP aralığı belirteceğimiz için “Address Type” kısmından range’i seçtik. “Starting IP Address” başlangıç IP adresi, “End IP Address” bitiş IP adresi. 94 95 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Hedef Port numarasını belirtmek için açılan menüde “Name” kısmına servisi tanımlayan herhangi bir isim veriyoruz. “IP Protocol” kısmından kullanılan protokolü seçiyoruz, TCP gibi. Port numarasını “Starting Port” kısmına yazıyoruz. Evet bu işlemleri yaptıktan sonra “OK” tuşuna tıkladığımızda yeni firewall kuralımız oluşturulmuş olacak. Oluşturduğumuz kuralı Firewall menüsünde görmek mümkün. İstenirse bu kural üzerinde daha sonradan değişiklik yapılabilir. İçindekiler 96 97 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Force User Authentication Daha önce firewall kurallarının tanımlanması ile ilgili örnek konfigürasyonlar yapmıştık. Firewall kurallarını tanımlarken IP bazlı filitreleme işlemleri yapmayı gördük. Yapılan filitreleme işlemini IP bazlı yapmanın bir takım dezavantajları var. Mesela networkümüzdeki kullanıcılar IP adreslerini eğer bir DHCP sunucudan alıyorlarsa, her bağlandıklarında farklı bir adres alabilirler ve bu da IP adresinden kullanıcının tanınmasını olanaksız kılar. Eğer bu sorunu çözmek için kullanıcı bilgisayarlarına statik IP adresleri atanırsa bu da ayrı bir dert olacaktır. Çünkü ortamdaki bilgisyarlara tek tek IP adresi vermek hem zahmetli bir iş, hem de kullanıcı kendi IP adresini değiştirebilir. İşte bu noktada Force User Authentication özelliği bize büyük bir kolaylık sağlıyor. Force User Authentication özelliği sayesinde kullanıcıların internet erişimi sağlamadan önce bir kullanıcı adı/şifre ile kendilerini firewall’a tanıtması zorunlu hale getirilebilir. Bu sayede firewall kurallarını IP bazlı değil kullanıcı bazlı tanımlayabiliriz. Şimdi bu işlemi USG 200 üzerinde nasıl gerçekleştirdiğimizi örnek bir konfigürasyon ile inceliyelim. Öncelikli olarak iç networkten internete erişim için kimlik doğrulamayı mecburi hale getirelim. Bu işlemi yapmak için “Object > User/Group > Setting” menüsüne giriyoruz. Açılan ekranda en aşağıda “Force User Authentication Policy” isminde bir bölüm göreceğiz. Burada yeni bir tanımlama eklemek için “+” tuşuna basıyoruz. İçindekiler Açılan ekranda “Enable” kutucuğunu işaretliyoruz ve “Authentication” kısmında “force” seçeneğini seçiyoruz. “Source Address” kısmından “Lan1_subnet” seçeneğini, “Destination Address” kısmından ise “any” seçeneğini seçeceğiz. Böylece iç networkteki kullanıcılar herhangi bir yere ulaşmaya çalıştıklarında kendilerini bir kullanıcı adı/şifre ile tanıtmaları gerekecek. İşemleri yaptıktan sonra “OK” tuşuna basarak onaylıyoruz. Artık oluşturduğumuz ifade listede gözüküyor. “Apply” tuşuna basarak yaptığımız değişikliği aktif hale getiriyoruz. 98 99 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Artık bir kullanıcı internet üzerinde herhangi bir sayfaya erişmeye çalıştığında öncelikli olarak kendisinden kullanıcı adı/şifre girişini yapmasını isteyen aşağıdaki gibi bir sayfa açılacak. Tabi yapmamız gereken bir diğer işlem de firewall’umuz üzerinde kullanıcı adı şifreler oluşturmak. “Object > User/Group > User” menüsüne giriyoruz. İçindekiler Firewall üzerinde tanımlanmış olan kullanıcıları bu ekrandan görmek mümkün. Yukarıda da görüldüğü gibi default sistem kullanıcıları dışında tanımlanmış olan bir kullanıcı bulunmuyor. Yeni bir kullanıcı eklemek için “+” tuşuna basıyoruz. Karşımıza aşağıdaki gibi bir ekran açılacak. Açılan ekranda “User Name” kısmına kullanıcı adını yazıyoruz. “Password” kısmına kullanıcının şifresini, ve “Retype” kısmına yazdığımız şifrenin aynısını yazıyoruz. Diğer ayarlar üzerinde bir değişiklik yapmamıza gerek yok. “OK” tuşuna basarak kullanıcıyı oluşturuyoruz. Artık yeni oluşturduğumuz kullanıcı listede görülecektir. Şimdi kullanıcı doğrulamasını zorunlu hale getirdiğimize göre artık kullanıcı adı bazlı firewall kuralları tanımlayabiliriz. 100 101 ZyXEL Partner Eğitimleri – Netron Technology - 2008 IPSec VPN Tünel Kurulumu IPsec VPN kuruluna başlamadan önce dikkat etmemiz gereken iki önemli nokta bulunuyor. İki nokta arasında IPSec VPN tünel kurabilmemiz için noktalardan en az bir tanesinin statik IP adresine sahip olması gerekiyor. Eğer iki tarafta dinamik IP adreslerine sahipse bir tünel kurulumu gerçekleştiremeyiz. Dikkat etmemiz gereken diğer nokta ise iç networklerde kullandığımız IP adreslerinin birbirinden farkı olmalarıdır. Örneğin birinci noktada iç networkümüz 192.168.1.0/24 networkü ise diğer noktada da iç network olarak 192.168.1.0/24 networkünü kullanamayız. Şimdi bir örnek üzerinde Site-to-Site IPSec VPN tünel kurulumunu inceliyelim. Örneğimizde İstanbul ve Ankara şubelerinde bulunan ZyWALL’lar arasında IPSec VPN kurulumunu göreceğiz. İstanbul şubesinin statik IP adresinin olduğunu düşünelim. Ankara Şubesi ise dinamik IP adresine sahip olsun. Ankara tarafında LAN IP adresi değiştirilerek 192.168.5.1/24 yapılmış. Böylece olması gerektiği gibi iç networkler birbirinden farklı ayarlanmış. Öncelikli olarak İstanbul şubesindeki ZyWALL’un konfigürasyonunu gerçekleştirelim. VPN > IPSec VPN > VPN Gateway menüsüne giriyoruz. İçindekiler ”Add” tuşuna basıyoruz. Açılan pencerede “VPN Gateway Name” kısmına VPN tünelimizi tanımlayan herhangi bir isim veriyoruz, “AnkaraVPN” gibi. “My Address” kısmından internet bağlantımızın olduğu arayüzü seçiyoruz. “Peer Gatewaty Address” kısmı karşı tarafın IP adresini tanıttığımız kısım. Ankara şubesi dinamik IP adresine sahip olduğu için burda “Dynamik Address” seçeneğini işaretliyoruz. “Authentication” menüsünde “Pre-Shared Key” seçeneği işaretli olacak ve yandaki kutuya iki tarafta da aynı olacak bir şifre yazacağız. 102 103 ZyXEL Partner Eğitimleri – Netron Technology - 2008 “Phase 1 Settings” kısmından şifreleme gibi işlemlerde kullanılacak algoritmalar belirleniyor. Burada seçtiğimiz değerler karşı noktada da aynı şekilde ayarlanmış olmalı. Güvenliği artırmak için default seçili olan algoritmalar yerine daha güvenli olan “AES128”, “SHA1”, “DH2” algoritmaları seçilebilir. Bu ayarları yaptıktan sonra “OK” tuşuna basıp yaptığımız ayarları kaydediyoruz. Artık yeni oluşturduğumuz VPN Gateway listede görünecektir. Daha sonra “VPN Connection” menüsüne gelip “Add” tuşuna basıyoruz. İçindekiler Açılan ekranda “Connection Name” kısmına herhangi bir isim yazacağız. “VPN Gateway” kısmından “Site-to-site with Dynamic Peer” seçeneği işaretleniyor ve yandaki kutucuktan az önce oluşturduğumuz “AnkaraVPN” isimli VPN gateway’i seçiyoruz. “Local Policy” iç networkümüzü belirtiyor. VPN tünel üzerinden sadece burada belirtilen networke erişilebilir. “LAN1_SUBNET” seçilebilir yada istenirse yeni bir tanımlama oluşturulabilir. “Remote Policy” kısmı karşı taraftaki iç networkü belirten kısım. VPN tünel kullanılarak hangi networklere erişilebileceği buradan öğreniliyor. Ankara noktasındaki iç networkümüz 192.168.5.0/24 networkü olarak tanımlanmıştı. Burada “Create Object” seçeneğini işaretliyeceğiz ve yeni açılan pencerede aşağıdaki ayarları yapacağız. 104 105 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Şekildeki gibi karşı tarafın iç networkünü tanımladıktan sonra “OK” tuşuna basıyoruz ve “Remote policy” kısmında oluşturduğumuz “Ankara_Local” isimli ifadeyi seçiyoruz. “Phase 2 Settings” kısmından şifreleme ile ilgili algoritmalar seçiliyor. Bu algoritmalar iki taraftada aynı ayarlanmalı. “OK” tuşuna basıp yaptığımız ayarları kaydediyoruz. İçindekiler Artık yeni oluşturduğumuz VPN bağlantısı listede görülecektir. Şimdi benzer ayarları Ankara şubesindeki ZyWALL üzerinde de gerçekşleştirmemiz gerekiyor. İstanbul şubesi statik IP adresine sahip olduğu için bir kac noktada farklı ayarlar gerçekleştireceğiz. Mesela “VPN Gateway” oluşturduğumuz ekranda önceden “Dynamic Address” seçeneğini işaretlemiştik. Bu sefer “Static Address” seçeneğini işaretleyip yandaki kutucuğa istanbul şubesinin static IP adresini yazıyoruz. Bu ekranda geri kalan ayarlarda bir farklılık yok. 106 107 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Aynı şekilde “VPN Connection” menüsünde yeni bir VPN bağlantısı oluştururken “VPN Gateway” kısmında “Static Site-to-Site” seçeneği seçilecek. Aynı ekranda “Remıote Policy” için bu sefer oluşturduğumuz adres bilgilerine 192.168.1.0/24 networkünü tanımlayacağız. (Remote Policy karşı tarafın iç networkünü tanımlıyordu. Istanbul şubenin iç networkü 192.168.1.0/24) İçindekiler Konfigürasyon Dosyasının Yedeklenmesi Zywall üzerinde yaptığımız konfigürasyonların bir kopyasını alarak ileride oluşabilecek bir sorunda tüm konfigürasyonu baştan yapmak yerine önceden kopyaladığımız yedek konfigürasyonu geriye yükleyebiliriz. Konfigürasyon dosyasının yedeğini almak için yapmamız gereken işlemler şu şekilde; “Maintanence > File Manager” menüsüne giriyoruz. Açılan ekranda listede gördüğümüz “startup-config.conf” isimli dosya konfigürasyon dosyamız. Listeden bu dosyayı seçerek aşağıdaki “Download” tuşuna basıyoruz. Bu işlemi yaptıpımızda dosyayı nereye kayıtetmek istediğimizi soracak. Bir klasör belirledikten sonra kaydet tuşuna bastığımızda artık konfigürasyon dosyasını yedeklemiş oluyoruz. Yedeklediğimiz konfigürasyon dosyasıını geri yüklemek istediğimizde yine aynı menüyü kullanıyoruz. Bu sefer yapmamız gereken “File Path:” kısmından bilgisayarımızdaki konfigürasyon dosyasının yerini göstermek ve daha sonra “Upload” tuşuna basmak. 108 109 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Kayıt ve Lisans İşlemleri Zywall USG serisi cihazlar üzerinde Anti-virüs, IDP, ve içerik filitreleme gibi ileri seviye özelliklerin olduğunu belirtmiştik. Anti-virüs ve IDP özelliklerinin verimli çalışabilmeleri için internet üzerinden bu servislerle ilgili güncellemelerin indirilmesi gerekiyor. Bu güncellemeler ekstra servisler olup ayrı ücrete tabiler. Güncellemelerin otomatik bir şekilde yapılabilmesi için cihazın internet üzerinden kayıt edilmesi ve lisans bilgilerinin girilmesi gerekmekte. Aynı şekilde içerik filitreleme özelliği lisans gerektiren ücretli bir servis olup, kullanılabilmesi için ilgili kayıt ve lisans işlemlerinin yapılması gerekmektedir. Tüm bu servislerin 1 aylık ücretsiz deneme lisansları cihazla beraber gelmektedir, fakat bu özelliklerden yararlanabilmek için internet üzerinden kayıt edilmesi gerekmektedir. Deneme süreleri dışında bu servislerin kullanılabilmesi için E-icard diye isimlendirilen hizmet paketlerinin alınması ve bu paketlerdeki lisans numaralarının internet üzerinden kayıt ettirilmesi gerekmektedir. Kayıt işlemlerini gerçekleştirebilmek için öncelikli olarak zyxel’in ürün kayıt sayfasında kendimize özel bir hesap açıyoruz. http://www.myzyxel.com İçindekiler www.myzxel.com adresine girdiğimizde yukarıda ki gibi bir ekran karşımıza çıkacak. Eğer daha önceden oluşturduğumuz bir hesap varsa “Log In” kısmından giriş gerçekleştirebiliriz. Eğer yeni bir hesap oluşturmak istiyorsak soldaki menüden “New Account” menüsüne giriyoruz. Açılan ekranda bizden kullanı adı, şifre, isim, soyad, e-mail, address, telefon gibi bilgiler istenecek. Yanında kırmızı yıldız işareti olanlar doldurulması zorunlu olan alanlardır ve buradaki bilgiler doğru bir şekilde yazılmalıdır. İlgili bilgileri yazdıktan sonra en aşağıdaki “Submit” tuşuna basarak kullanıcı hesabımızı oluşturmuş oluyoruz. Hesabın aktif hale gelmesi için yazdığımız mail adresine gelen onay mail’indaki link’e tıklamalıyız. Artık www.myzxel.com sitesinde bize ait aktif bir hesabımız var. Şimdi elimizdeki Zyxel ürünlerini bu site üzerinden kayıt edebiliriz. Öncelikli olarak tekrardan http://www.myzyxel.com adresine girelim ve bu sefer login kısmına daha önceden oluşturduğumuz kullanıcı adı ve şifreyi yazarak giriş yapalım. 110 111 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Giriş sayfasında adımıza kayıtlı olan ürünlerin bir listesini görüyoruz. Tabiki ilk giriş yaptığımızda burada herhangi bir ürün göremeyeceğiz. Ürün kaydı için yukarıdaki “My Product” menüsüne girip “Add” tuşuna basabiliriz ya da bu ekranda gördüğümüz “To register product Click here” yazısına tıklayarakta aynı ekrana ulaşılabilir. İçindekiler Açılan ekranda ürün kayıdı için doldurmamız gereken üç kısım var. Bunlardan ilki ürünün seri numarası. Seri numarası ürünün arkasında bulunan etiket üzerinden görülebilir. Seri numarasını girdiğimizde ürünle ilgili bilgiler (ürün türü, modeli gibi) aşağıda otomatik olarak yazacaktır. Daha sonra “Authentication Code / MAC Adress” kısmına ürünün MAC adresini yazmamız gerekiyor. Bu MAC adresi yine ürünün arka etiketinde yazdığı gibi istenirse ürünün menülerinden de görülebilir. Son olarak ürüne bir isim veriyoruz. Buraya ne yazdığımız çok önemli değil. Bize ait ürünler listesinde vermiş olduğumuz bu isimler ile ürünler gözükmektedir. “Submit” tuşuna basarak yaptığımız işlemi onaylıyoruz. 112 113 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Daha sonra yukarıda görüldüğü gibi bizden ürünü aldığımız tarih ve aldığımız yerle ilgili bir bilgi girmemiz istenecek. Bu bilgileri girip “Continue” tuşuna basarak kayıt işlemini tamamlıyabiliriz. Artık ürün listesinde eklemiş olduğumuz ürünü görebiliriz. İçindekiler Ürün ve bu ürüne ait lisanslarla ilgili daha detaylı bilgi almak için yapmamız gereken listeden ürünün ismine tıklamak olacaktır. Ürün ismine tıkladığımızda karşımıza yukarıdaki gibi bir ekran açılacak. Bu ekranda ürüne ait kullanılabilir servisler ve bu servislerin durumlarıyla ilgili bilgiler görülmektedir. Yukarıdaki ekranda da görülebildiği gibi şu an servislerin hiç biri aktif durumda değil. Aynı bilgiyi Zywall USG serisi cihazımızın web konfigürasyon ekranından da görüntülüyebiliriz. 114 115 ZyXEL Partner Eğitimleri – Netron Technology - 2008 “Licensed Service Status” başlığı altında Anti-virüs, IDP, ve Content Filter servislerinin yanında “Not Licensed” ifadesi bu servislerin aktif olmadığını göstermektedir. Bu Servisleri aktif hale getirme işlemini Zywall üzerinde gerçekleştiriyoruz. Artık www.myzxel.com adresinde bir işlem yapmamıza gerek yok. Bu sayfadan lisansların bitiş süreleri ve durumları takip edilebilir. Servisleri aktif hale getirmek için “Licensing > Registration” menüsüne giriyoruz. Unutmayın aktivasyon işlemini gerçekleştirebilmek için cihazın internet erişiminin olması gerekiyor. İçindekiler Burada “existing myZyxel.com account” seçeneğini işaretleyerek önceden www.myzyxel.com sitesinde oluşturduğumuz kullanıcı adı ve şifre bilgilerini giriyoruz. Daha sonra “Trial Service Activation” başlığı altındaki kutucukları işaretleyerek ücretsiz 1 aylık deneme lisanslarını aktif hale getirebiliriz. 1 aylık süre bu servisleri aktif hale getirdiğimiz andan itibaren başlayacaktır. “Apply” tuşuna basarak işlemi sonlandırıyoruz. Artık ürünümüz kayıtlı ve 1 aylık deneme lisansları aktif durumda. Anti-virüs ve IDP servisleri otomatik olarak internet üzerinden gerekli güncellemeleri yapacaklardır. 116 117 ZyXEL Partner Eğitimleri – Netron Technology - 2008 “Licensing > Registration > Service” menüsünden servislerin durumu ve lisansların bitiş süreleri görülebilir. Ücretsiz 1 aylık deneme lisansları dışında ücetli lisansların kayıtları yukarıda gördüğümüz ekrandan yapılabilir. “Licence Upgrade” kısmındaki kutuya aldığımız lisans kodunu yazarak “Update” tuşuna basmamız yeterli olacaktır. http://www.myzyxel.com adresinden de lisans durumları ve bitiş süreleri görülebilir. İçindekiler Vantage Raporlama Yazılımı Günümüz networklerinin en büyük ihtiyaçlarından biri yapılan bağlantıalar, bandwidth kullanımı, cihaz yoğunluğu, VPN tünel durumları gibi konularla ilgili raporların alınması ve bunların takip edilmesidir. Özellikle yeni yapılan yasa düzenlemeleri sonucunda firmalar kullanıcıların yaptığı bağlantılarla ilgili kayıt tutmadıkları taktirde yapılan tüm işlemlerden firma yükümlü duruma düşmektedir. Raporla işlemi genelde zor ve maliyetli bir işlemdir çünkü cihazlar üzerinde bulunan arabirimler istenilen bilgileri sunmak için yetersizdir. Aynı zaman bu bilgilerin yüksek boyutlarda olması cihaz üzerinde saklanmasını zorlaştırmaktadır. Bu yüzden raporlama ve kayıt işlemleri kullanılan yazılımlar ile bilgisayarlar üzerinde gerçekleştirilmektedir. Genelde kullanılan yazılımın farklı bir üreticiye ait olması yazılımın ekstra maliyete neden olmasını sağlar. Zyxel USG serisinin en büyük avantajlarından bir tanesi de Vantage Report isimli raporlama programının ücretsiz olarak ürünle beraber gelmesidir. Cihazla beraber kutunun içerisinde bu yazılıma ait kitapçığı ve lisans bilgilerini bulabilirsiniz. Vantage Report yazılımının en güncel versiyonu ftp://ftp.zyxel.com/Vantage_Report adresinden indirilebilir. Öncelikli olarak yazılımı bir bilgisayara kuruyoruz. Kurulum sırasında herhangi bir ekstra ayar ya da yapılandırma bilgisi bizden istenmiyor. Sadece “Next” tuşuna bikaç kere basarak kurulumu kolay bir şekilde gerçekleştirebiliriz. Kurulumu gerçekleştirdiğimizde “Başlat” menüsünde proglamla ilgili herhangi bir kısa yol göremeyeceksiniz. Bu sizi korkutmasın çünkü yazılım servis olarak windows açıldığında otomatik olarak arka planda çalışmaktadır. Vantage Report web tabanlı bir uygulama olup bütün konfigürasyon ve raporlama işlemleri web arabirimi üzerinden gerçekleştirilmektedir. Uygulumayı kurduktan sonra web browserımıza http://127.0.0.1:8080 yazarak uygulamaya erişebiliriz. 118 119 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Zyxel cihazlarından alışkın olduğumuz default username: Admin ve Password: 1234 Vantage Report’ta çalışmayacaktır. Default kullanıcı adı ve şifreler şu şekilde; User Name: root Password: root İlk girişi yaptıktan sonra “root” kullanıcısının şifresini değiştirmekte fayda var çünkü ortamdaki başka bir bilgisayardan da bu web arabirimine erişmek mümkün. Giriş yaptıktan sonra karşımıza aşağıdaki gibi bir ekran açılacak. İçindekiler Öncelikli olarak yapmamız gereken ürünle beraber gelen Lisans kodunu aktif hale getirmek olacaktır. Bu işlemi “System Settings > Registration” menüsünden gerçekleştiriyoruz. Registration menüsünde aşağıdaki gibi bir ekran açılacak burada “Upgrade” tuşuna basıyoruz. 120 121 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Açılan ekranda “License Key” kısmına ürün kitapçığının içinde yazan lisans kodunu yazıp aşağıdaki menüden “Exististing myZyxel.com account” seçeneğini seçiyoruz ve daha önceden www.myzyxel.com adresinde oluşturduğumuz kullanıcı adı şifre bilgilerini giriyoruz. (Kayıt işlemleri ile ilgili örnekler kayıt ve lisans işlemleri başlığı altında bulunabilir.) “Upgrade” tuşuna bastığımızda lisans bilgileri aktif hale gelecektir. İçindekiler http://www.myzxel.com adresinden de lisanslama ile ilgili bilgiler görülebilir. Artık denetlemek istediğimiz cihazla ilgili bilgileri uygulamaya ekliyebiliriz. 122 123 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Yapmamız gerken web arabiriminde sol taraftaki menüde bulunan root yazısına sağ tuşla tıklayıp açılan ekranda “Add Device” seçeneğini seçmek. Açılan ekranda “Name” kısmına cihazı tanımlayan herhangi bir isim veriyoruz. MAC kısmına Zywall’umuzun MAC adresini yazacağız. (Zywall’un arkasındaki etiketten MAC adresi öğrenilebilir.) “Type” kısmından cihazımızın modelini seçiyoruz. Vantage tarafında yapmamız gereken ayarlar bu kadar. Birde Zywall tarafında logların Vantage yazılımına gönderilmesi için yapmamız gereken bir ayar var. “Maintenance > Log > Log Settings” menüsüne giriyoruz. İçindekiler Burada 2 numaralı ifadenin satırında “Modify” kolonu altındaki “Edit” simgesine basıyoruz. Açılan ekranda “Active” kutucuğunu işaretliyoruz. “Log Format” kısmı VRPT/Syslog olarak seçili kalıyor. 124 125 ZyXEL Partner Eğitimleri – Netron Technology - 2008 “Server Address” kısmına Vantage Report yazılımını kurduğumuz bilgisyarın IP adresini yazıyoruz. “Log Facility” Local 1 olarak kalabilir. “Active Log” kısmında “All Logs” ifadesinin yanındaki kutucuklardan ortadakini işaretliyerek bütün loglamaları aktif hale getiriyoruz. İşlemimiz tamamlandı artık Zywall bütün bilgileri Vantage Report yazılımına aktaracaktır. Bu işlemi yaptıktan sonra Vantage Report yazılımına web arabiriminden bağlanarak raportları görüntülemeye başlıyabilirsiniz. Not: İşlemleri yaptıktan sonra raporları görmeye başlamanız 5-10 dk gecikmeli olacaktır. İçindekiler Switch Uygulamaları VLAN kullanılarak 2 switch nasıl bağlanır ? 2 tane layer 2 switch üzerinde VLAN yapmak istiyorum ve birinci switch’i ikinci switch’e trunk portundan bağlamak istiyorum.Birinci Es2024 üzerinde 5 VLAN , ikinci switch üzerinde 7 VLAN olacak.Trunk port her iki switch de de 25. port olacak.Fakat her iki switch üzerinde de trunk port seçeneğini bulamadım. Port 25’i trunk port olarak nasıl kullanabilirim? Seneryo aşağıda tanımlanmıştır: Bu iki switch deki VLAN konfigurasyonları şu şekilde : Switch A üzerinde VLAN 2, 3, 4, 5, 6 Switch B üzerinde VLAN 2, 3, 4, 5, 6, 7, 8 126 127 ZyXEL Partner Eğitimleri – Netron Technology - 2008 1. Switch 1 üzerindeki LAN konfigurasyonu ------------------------------------2. Switch 1 üzerindeki LAN konfigurasyonu Cevap: ------------------------------------Switch A içinde, 25 portunu her VLAN’a ekle. VID:101 (port 1,2,3,"25 TAG") VID:102 (port 4,5,6,,"25 TAG") VID:103 (port 7,8,9,10,"25 TAG") VID:104 (port 23,24,"25 TAG") VID:105 (port 11,12,13,14,"25 TAG") VID:106 (port 15,16,17,"25 TAG") VID:107 (port 18,19.20,21,"25 TAG") İçindekiler ------------------------------------Switch B içinde, 25 portunu her VLAN’a ekle VID:101 (port 1,2,3,,4,"25 TAG") VID:102 (port 6,7,8,9,10,"25 TAG") VID:103 (port 11,12,13,14,"25 TAG") VID:104 (port 15,16,17,18,"25 TAG") VID:105 (port 19,20,21,23,22"25 TAG) Her iki switch üzerinde aynı VLAN da olan kullanıcılar birbirleri ile haberleşebilirler.Clients in same VLAN on both switches can communicate each other. PVID: λ Switch 1 üzerinde PVID ayarla: Port 1, 2, 3 : 101 Port 4, 5, 6 : 102 Port 7, 8, 9, 10 : 103 Port 23, 24: 104 Port 11, 12, 13, 14: 105 Port 15, 16, 17: 106 Port 18, 19, 20, 21: 107 λ Switch 2 üzerinde PVID ayarla: Port 1, 2, 3, 4 : 101 Port 6, 7, 8, 9, 10, : 102 Port 11, 12, 13, 14, : 103 Port 15, 16, 17, 18: 104 Port 19, 20, 21, 22, 23: 105 128 129 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Bilgisayarlar VLAN kullanılarak birbirinden nasıl izole edilirler ve internete girmek için nasıl Router’a bağlanırlar ? Eger Router Vlan’ı tanımazsa ,o un-tag frame olarak ayarlanmıştır. Layer 2 switch üzerindeki VLAN konfigurasyonu aşağıdaki gibidir: PC1: Port 1 üzerinde VID 1 PC2: Port 2 üzerinde VID 2 PC3: Port 3 üzerinde VID 3 Router: Port 24 üzerinde VID 24 PC1 , PC2, PC 3 internet girmek için Port 24 üzerindeki Router’ı kullanıyorlar.Internet ve VLAn nasıl configure edilir ? Cevap: 1. VLAn’ları aşağıdaki gibi ayarla - VID =1: Port 1, Fixed, untagged Port 24, Fixed, untagged - VID =2: Port 2, Fixed, untagged Port 24, Fixed, untagged - VID =3: Port 3, Fixed, untagged Port 24, Fixed, untagged - VID =24: Port 1, Fixed, untagged Port 2, Fixed, untagged Port 3, Fixed, untagged Port 24, Fixed, untagged • VLAN ayarlarında Switch Uygulamaları 2. PVID’ları aşağıdaki gibidir - Port 1 : 1 - Port 2 : 2 - Port 3 : 3 - Port 24 : 24 130 131 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Layer 3 switch’de Subnet (Alt Ağlar) nasıl birbirinden ayrılır? ES-4024 switch’e bağlı 3 farklı alt ağa (subnet) sahibiz. 1). VLAN1: 192.168.1.0/24 olarak yapılandırılan portlar 1-8. 2). VLAN2: 192.168.2.0/24 olarak yapılandırılan portlar 9-16 Switch Uygulamaları 132 3). VLAN3: 192.168.3.0/24 olarak yapılandırılan portlar 17-24 Ve Uplink port 25 192.168.4.0/24 alt ağı ile farklı bir vlan (VLAN Uplink) da yapılandırılır . Ve 192.168.4.1/24 IP ye sahip bir router 25 nolu Uplink portuna bağlı. VLAN1, VLAN2 ve VLAN3 tan tüm üç network 25. uplink portuna bağlı Gateway router içinden internete çıkabilmelidir. VLAN1, VLAN2 ve VLAN3 arasında hiçbir şekilde haberleşme olmamalıdır. Cevap: 1. ES-4024’ın ayarlarında 4 adet VLAN oluşturun. VID 1: 1~25(untag) VID 2: 1,2,3,4,5,6,7,8,25(untag) VID 3: 9,10,11,12,13,14,15,16,25(untag) VID 4: 17,18,19,20,21,22,23,24,25(untag) 2. PVID’yı ayarla port: 1,2,3,4,5,6,7,8,25 port: 9,10,11,12,13,14,16 port: 17,18,19,20,21,22,23,24,25 port: 1~25 :2 :3 :4 :1 3. IP SETUP içinde 3.1 Default gateway adresi 192.168.4.1 olarak ayarla. 3.2 Dört farklı IP subneti oluştur. 192.168.1.1/24 192.168.2.1/24 192.168.3.1/24 192.168.4.2/24 4. RIP içinde 4.1 3.2 de oluşturduğumuz dört farklı arayüzü aç Both direction’ı enable et. RIP-1’i seç. 4.2 Router içiersinde RIP’i enable et. 5. Layer 3 filtering’te filtering kuralları ayarlayın 5.1 Kaynak: 192.168.1.0/24; Hedef: 192.168.2.0/24 5.2 Kaynak: 192.168.3.0/24; Hedef: 192.168.2.0/24 5.3 Kaynak: 192.168.1.0/24; Hedef: 192.168.3.0/24 133 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Layer 3 switch’te Port Mirroring (Port Aynalama) nasıl ayarlanır? Bir müşteri , port 1 den port 3 e iletilen trafiği port 5’i mirror olarak kullanarak izlemek istediğinde nasıl bir ayarlama yapmalıdır ? Switch içinde , aşağıdaki gibi ayarlama yapabilir. Switch Uygulamaları 134 Bir 802.1x environment (ortamı) nasıl ayarlanır ? 5.1: RADIUS ayarları: Şekilde gösterilen konfigurasyon ekranını görüntülemek için ana menüden Advanced Application altından Port Authentication linkine tıklayın. Enable Authentication Server’ı tıklayın . IP adres, UDP port ve shared Secret değerlerini girin.Daha sonra ayarların devreye girmesi için Apply a tıklayın. 802.1x ayarlarına girmek için 802.1x linkini tıklayın.Check the Enable Authentication seçeneğini kontrol edin ve 802.1x kimlik doğrulamasını enable etmek için Apply butonuna basın. Check Enable to turn on 802.1x authentication on that port Bu port üstünde 802.1x kimlik doğrulamasını açmak için Enable seçeneğini kontrol edin.Diğer ayarları olduğu gibi bırakabilirsiniz. Değişikliklerinizi kaydetmek için Apply butonuna basın. 5.2 RADIUS server setup Şekilde gösterilen konfigurasyon ekranını görüntülemek için ana menüden RADIUS altından RADIUS SERVER linkine tıklayın. 135 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Default değerleri kullanabilirsiniz veya Authentication port, Shared Secret değerlerini değiştirebilirsiniz. Unutmayın ki bu değerler client taraftaki ayarlar ile aynı olmalıdır. 5.3 Kullanıcı Hesabı Oluştur Şekilde gösterilen konfigurasyon ekranını görüntülemek için ana menüden RADIUS altından USER ACCOUNT linkine tıklayın.Var olan kullanıcı hesaplarını kullanabilirsiniz veya Add New User butonuna basarak yeni bir kullanıcı hesabı oluşturabilirsiniz.Unutmayın ki client tarafı Radius server daki hesabı kullanmalı. 5.4 Windows XP(Supplicant) ayarları: MeetingHouse Aegis client, Funk Odyssey client ve Microsoft 802.1x client gibi tercih edebileceğimiz birçok program vardır.Biz örnek olarak Microsoft 802.1x client programını alıyoruz. 5.4.1 802.1x/MD5-challenge ayarı Local Area connection (Yerel Ağ Bağlantısı) Properties(Özellikler)’i açın , ve sonra Authentication sayfasıonı tıklayın. Enable IEEE 802.1x authentication for this network’i control edin ve MD5-challenge EAP type combobox. içindeki MD5-challenge’i seçin.Bu ayarları aşağıdaki şekilde de görebilirsiniz. Switch Uygulamaları 136 Aşağıdaki şekilde görüldüğü gibi 802.1x başladığında size kullanıcı adı ve şifre soracak. İcon’u tıkladıktan sonra kullanıcı adı , şifre girişi için bir dialog penceresi olacak. Kimlik doğrulama sunucusunun database’inde bulunan kullanıcı adı ve şifre girdikten sonra OK butonuna tıklayın. Böylece client ayarları bitirilmiş olur. 137 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Yukardaki prosedürden sonra doğrulanmış porta sunuvuya giriş için izin verebiliriz.Eğer switch portu doğrulanmazsa bu portun arkasındaki bilgisayar networke erişemez. Switch içindeki Port Security ve Static Mac Forwarding nasıl kullanılır? Switch tasarımında güvenlik daima önemlidir. Switch deki güvenlik seviyesini etkilemek için birçok methoda yaklaşılabilir. Bunların arasından port güvenlikli static mac forwarding kombinasyonu ihtiyaçlarımız başarmak için iyi çözümler sunar. Switch in MAC tablosunda var olan belirli bir port üzerindeki bazı PC lerin MAC adreslerini kısıtlayabiliriz.Bu durumda öncelikle web konfigurasyonun static Mac forwarding içindeki port ile Mac adres arasında bağlantı kuracağız.Sonra belirli bir Switch Uygulamaları 138 portun switch e erişebildiği fonksiyonu aktif etmek için port güvenliğini sağlayacağız.Statik mac adres kurulum prosedürü aşağıda listelenmiştir. 1) Port 7 üzerindeki switch e erişmesine izin verilen 00:a0:c5:b3:20:c3 Mac adresli PC yi port forwarding (port yönlendirme) de kısıtlamak istiyoruz 2) Port Security de port security fonksiyonunu sadece port için devreye alıyoruz. 3) Konfigurasyondan sonra 192.168.1.2 IP adresi ile switch e ping atmak için port 11 i kullanıyoruz. Sonuç port 11 deki PC nin switch e erişemediğini gösteriyor. 4) Sonra port 7 yi kullanarak switch e ping atabiliyorsak istediğimiz sonucu elde etmiş oluyoruz.192.168.1.2 li switch den yanıt alabiliriz. 139 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Switch de VLAN Trunking kullanarak iki switch’i nasıl bağlarım ? VLAN trunking olarak configure edilen port portu kullanarak iki switch i bağlayabiliriz.Switch 1 den VLAN tag frame li PC1 switch 2 deki diğer VLAN tag frame li PC2 ile VLAN trunking kullanarak haberleşebilir.Örneğimizde ; Switch 1 de port 5’i , switch 2 de port port 10’u VLAN trunking port olarak ayarlıyoruz. Switch 1 deki konfigurasyon şu şekilde olmalıdır: Switch Uygulamaları 140 Switch 2 deki konfigurasyon ise şu şekilde olmalıdır: Switch 1 de , Port 2 yi VLAN 2 untag olarak ayarlıyoruz. Switch 2 de , Port 6 yı VLAN 2 untag olarak ayarlıyoruz. Switch 1 IP addresi: 192.168.1.31 Switch 2 IP addresi: 192.168.1.21 Konfigurasyondan sonra , Switch 1 de 2. porttaki PC1’in switch 2 de 6. porttaki PC 2 yi bulabildiğini gözlemleyebiliriz. 141 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Switch de link aggregation nasıl kullanılır.? Link aggregation birkaç fiziksel portu yüksek kapasiteli bir mantıksal linkin içine gruplamak için bir şemadır.Aşağıda her iki switch deki 1 ve 2 portlar mantıksal olarak birleştirilerek tek port gibi davranmaları sağlanmıştır. Switch Uygulamaları 142 Link Aggregation GVRP nasıl configure edilir ? Tanımlama: Bu senaryoda , Tek şirket içerisinde farklı bölümlere ait bilgisayarlar birbirleri ile haberleşemezler ve switch lerin bazı portlarını GVRP-aware PC ler ve diğer VLANunaware PC ler için ayırıyoruz.Böylece ağ yöneticisi farklı cihaz ve gereksinimlere gore VLAN’ı kolaylıkla yönetip,configure edebilir.1 ve 2. kattaki switch ler için ,port 3 143 ZyXEL Partner Eğitimleri – Netron Technology - 2008 e bağlı PC static olarak VLAN 10 a katılıyor , port 4 e bağlı PC statik olarak VLAN 20 ye katılıyor ve 1 ve 2. porta bağlı PC ler dinamik olarak GVRP-aware ethernet kartları üzerinde bu konfigurasyon için belirlenen VLAN 10/20/30 e katılabilirler.Basement kattaki switch için , port1 e bağlı PC VLAN 30 a katılırken port 3 e bağlı PC dinamik olarak VLAN 10/20/30 a katılabilir. Bu senaryo nasıl konfigure edilir : 1. 2. kattaki Switch A için : Please enter VLAN setting under Advanced Application menusü altındaki VLAN ayarlarına girin ve aşağıda bahsedilen ekranı getirmek için “static VLAN” a tıklayın. Ekleme: VLAN 10: port 3, fixed, untag; port 23, fixed, Tx tagging”. VLAN 20 yi bu switch e ekleyin, VLAN 20: port 4, fixed, untag; port 23, fixed, Tx tagging. Switch Uygulamaları 144 Aşağıdaki ekranı getirmek için VLAN port settings’ e tıklayın. Port 3 için PVID 10 , port 4 için PVID 20 ayarlamasını yapın. GVRP’yi ekranın en üstünden ve port 1, port 2, port 23 de etkinleştirin. 2. Kat 1’deki Switch B için : Lütfen aynı adımları VLAN 10 için takip edin. VLAN 10: port 3, fixed, untag; port 23, fixed, Tx tagging; port 24, fixed, Tx tagging”. 145 ZyXEL Partner Eğitimleri – Netron Technology - 2008 VLAN 20’yi bu switch’e ekleyin. VLAN 20: port 4, fixed, untag; port 23, fixed, Tx tagging; port 24, fixed, Tx tagging. Aşağıdaki ekranı getirmek için VLAN port setting’e tıklayın. PVID 10 for port 3, PVID 20 for port 4, and enable GVRP on the top of the screen and port 1, port 2, port 23, port 24 olarak ayarlayın. Switch Uygulamaları 3. Zemin kattaki Switch C için : VLAN 10: port 23, fixed, untag , statik olarak ayarlayın VLAN 20: port 23, fixed, untag , statik olarak ayarlayın 146 147 ZyXEL Partner Eğitimleri – Netron Technology - 2008 VLAN 30’ u ekleyin. VLAN 30: port 1, fixed, untag; port23, fixed, untag; port 24, fixed, Tx tagging. Port 1 için PVID 30 ayarlayın ve port 3 and port 24 üzerinde GVRP’yi etkinleştirin. Switch Uygulamaları 148 149 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Kablosuz (Wireless) Network’ler Kablosuz network teknolojileri günümüzde kullanıcıların network erişimini kolaylaştıran, mobil cihazların bir kablo bağlantısı gereksinimi olmadan network ya da internet erişimine olanak sağlayan, kısacası hayatı kolaylaştıran teknolojilerdir. Bir kablosuz network’ü oluşturan Access Point (AP) ve bu Access Point’e bağlı olan bir ya da daha fazla sayıdaki bilgisayarlardır. Bu cihazların oluşturmuş olduğu ortama BSS ( Basic Service Set) ismi verilir. Yukarıdaki şekilde A, B bilgisayarları ve AP1 access point’i bir BSS oluşturmaktadır. Her BSS, SSID (Service Set IDentifier) dediğimiz bir isim ile ifade edilir. Yani bir kablosuz network oluştururken ortamdaki access point üzerinde kablosuz networkümüze bir isim (SSID) vermeliyiz. Bilgisayar kullanıcıları ortamdaki kablosuz networkleri bu isimler sayesinde birbirinden ayırt edebilir ve istedikleri kablosuz networklere bağlanabilirler. Bir access point farklı modlarda çalışabilir. En temel çalışma modu Access Point mode’dur. Bu modda access point kablolu networkün bir uzantısı olarak çalışır. Yani access pointi kablolu networke erişimi vardır ve kullanıcılar AP üzerinden kablosuz bir şekilde kablolu networke erişmiş olurlar. Yandaki şekilde Access Point modunda çalışan bir kablosuz network görüyoruz Switch Uygulamaları 150 Bir diğer çalışma modu ise Bridge mode’dur. Bridge mode iki kablolu network’ü kablosuz olarak birbirine bağlamak için oluşturulan kablosuz networktür. Aşağıdaki şekilde bridge modda çalışan access point’leri görüyoruz. Yine bir diğer çalışma modu Repeater mod’dur. Repeater modda çalışan bir access point başka bir access point’ten gelen sinyalleri tekrar ederek gönderir ve bu sayede kapsama alanının artmasını sağlar. Aşağıda repeater modda çalışan bir access point örneği görüyoruz. 151 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Kablosuz Network Standartları Kablosuz networkler zaman içerisinde yenilenmiş ve calışma hızları giderek arttırılmıştır. Bu nedenle günümüzde farklı kablosuz network standartları vardır. Piyasadaki eski ürünler yeni kablosuz network standartlarını desteklemiyebilirler. Kablosuz network standartlarının bir kısmı 2.4 Ghz’den başlayan bir frekans bandını kullanırlar, bir kısmı ise 5 Ghz’den başlayan bir frekans aralığını kullanmaktadır. Kullanılan frekans aralığı önemlidir çünkü bazı frekans aralıkları bazı ülkelerde lisans gerektiren, izinsiz kullanımı yasa dışı olan frekans aralıklarıdır. Mesala Türkiye’de 2.4 Ghz frekans bandında çalışan ürünlerin kullanımı serbest fakat 5 Ghz frekans bandında çalışan ürünlerin kullanımı yasa dışıdır. Kullanılan frekansın bir diğer etkisi kapsama alanı üzerindedir. Kullanılan frekans yükseldikçe kapsama alanı düşer. Yani 5 Ghz frekans bandında çalışan bir ürünün kapsama alanı 2.4 Ghz de çalışan bir ürüne göre daha azdır. Günümüzde kullanılan kablosuz network standartları ve bunların çalışma hızları şu şekildedir. 802.11b 802.11a 802.11g 802.11n 2.4 5 2.4 2.4 Ghz Ghz Ghz /5 11 Mb/sn 54 Mb/sn 54 Mb/sn 300 Mb/sn 2.4 Ghz frekans bandında çalışan 802.11 b/g standartları tam olarak 2.4000-2.4835 GHz aralığında çalışmaktadır ve bu aralık 22 Mhz’lik 13 kanala bölünmüş durumdadır. Kanalların başlanğıç frekansları arasında 5 Mhz’lik fark vardır. 1. kanal : 2401 – 2423 2. kanal : 2406 – 2428 3. kanal : 2411 – 2433 . . Switch Uygulamaları 152 Yukarda görüldüğü gibi birbirine yakın olan kanallar ortak frekans aralıklarını kullanmaktadırlar. Mesala 1. kanal ile 3. kanalın 12 mhz’lik çakışan frekansları vardır ( 2411 – 2423 arası) Burada bizim için önemli olan nokta çakışan frekansları kullanan cihazların birbirlerini etkiliyor olmalarıdır. Yani diyelimki bir şirkette kablosuz bir network kurduk ve kurduğumuz kablosuz network 3. kanalı kullanıyor olsun. Hemen üst katımızda bulunan bir diğer kablosuz network ise 1. kanalı kullınıyor olsun. Bu iki kablosuz network birbirlerini etkiliyeceklerdir. Access pointlerden bir tanesi bir data gönderirken aynı anda diğer access point’te bir data göndermeye çalıştığında gönderilen veriler bozulacak ve okunamaz hale gelecektir. Bu nedenle oluşturduğumuz kablosuz networkün hangi kanallı kullandığu önemlidir. Söylemiş olduğumuz 13 kanaldan birbirleriyle çakışmayan sadece 3 kanalımız vardır, ve genelde bu kanallar kullanılır. Çakışmayan kanallar 1 , 6 ve 11 numaralı kanallardır. Bir kablosuz network oluşturmadan önce ortamdaki diğer kablosuz networkleri incelenmeli, bunların kullandığı kanallar tespit edilmeli ve bunlarla çakışmayan kanal tercih edilmelidir. Ortamdaki diğer kablosuz networklerin ve bunların kullandığı kanalların bulunması için Network Stumbler isimli yazılım kullanılabilir. Ücretsiz olan bu yazılımı google’da aratarak bulabilirsiniz. Yukarıda standartlar için belirtilmiş olan band genişlikleri paylaşılan band genişlikleridir. Ortamda birden fazla cihazın aynı anda veri göndermesi durumunda band genişliği cihazlar arasında paylaşılacaktır. Örnek olarak 802.11g standartında çalışan bir access point ve bu access pointe bağlı 10 tane bilgisayar olduğunu düşünelim. 54Mb/sn olan band genişliği bu 10 kullanıcı arasında paylaşılacak ve kullanıcı başına ortalama 5.4Mb/sn gibi bir band genişliği düşecektir. Bu 5.4 Mb cift yönlü veri transfer hızının toplamıdır. Tek yön hızını hesaplamak için band genişliğini 2’ye bölersek hız 2.7 Mb/sn olarak hesaplanabilir. Tabi bunlar teorik değerlerdir, gerçek hayatta sinyal bozulmalarından ve diğer nedenlerden meydana gelen paket kayıpları gerçek hızın hesaplanan bu hızdan daha düşük olmasına neden olacaktır. Kablosuz Networklerin Kapsama Alanları Kablosuz network ürünlerin broşürlerine ya da kullanım kılavuzlarına baktığınızda genelde kapsama alanları ile ilgili olarak kapalı alanlarda 30-40 metre açık alanlarda 200-250 metre şeklinde ifadeler görürsünüz. Aslında bir kablosuz networkün kapsama alanını önceden söylemek olanaksız birşeydir çünkü kapsama alanını etkiliyen birçok faktör vardır. Kablosuz networklerde kullanılan 2.4 Ghz’den başlayan frekans bandı ortam koşullarından oldukça kolay etkilenen bir frekans aralığıdır. Duvar gibi yüzeyler sinyali emerek arka yüzeye geçişini engeller. Cam ya da metal yüzeyler yansıma yaparak sinyalin bozulmasına neden olurlar. Elektrik hatları, elektrik makinaları, ya da elektromagnatik girişim yapabilecek tüm elektronik cihazlar aynı şekilde sinyalin bozulmasına neden olurlar. Ortamdaki diğer kablosuz networkler çakışan frekansları kullanmaları durumunda bizim kablosuz networkümüzü ektilerler. Bazı kablosuz 153 ZyXEL Partner Eğitimleri – Netron Technology - 2008 telefonlar aynı frekans aralığını kullandığı için kablosu networkümüzü etkilerler. Bütün bu faktörler kablosuz networkümüzün kapsama alanını olumsuz şekilde etkiliyebilir ve kapsama alanının düşmesine neden olabilir. Kapsama alanını etkiliyecek bir diğer etkende access point üzerinde kullanılan anten tipidir. Genelde birçok access point üzerinde orta güçte dairesel yayın yapan antenler bulunur. Bu antenlerin daha güçlü versiyonları ya da yönlü (30 derece, 60 derece gibi) yayın yapan antenler ile değiştirerek kapsama alanı arttırılabilir. Daha öncede belirtiğimiz gibi kapsama alanının önceden söylenmesi imkansızdır. Yapılması gereken şey ortam analizidir. Kapsama alanının belirlenmesini istediğimiz ortamda access pointleri kurduktan sonra mobil cihazlar ile gezinerek ortamdaki sinyal seviyeleri ölçülmeli ve kapsama alanı bu şekilde belirlenmelidir. Daha önce söz ettiğimiz Network Stumbler isimli program ile sinyal seviyesini ölçmek mümkündür. Kapsama Alanının Genişletilmesi Kablosuz networklerde kapsama alanını genişletmek için kullanabileceğimiz iki tane yöntem var. Bunlardan özellikle tercih etmemiz gereken yöntem ilk olarak söz edeceğimiz yöntem olacaktır. İkinci yöntemi sadece çok mecbur kaldığımız durumlarda kullanmalıyız. Kapsama alanını genişletmek için kullanabileceğimiz ilk yöntemimizde ortamda kullandığımız tüm access pointler kablolu network’e bağlılar. Yani her access pointten switch’e giden bir ethernet kablosu var. Ortamdaki tüm access pointlerde oluşturduğumuz kablosuz networkün ismini (SSID) aynı ayarlıyoruz. Böylece bir cihaz bir access pointin kapsama alanından çıkıp ötekine girdiğinde otomatik olarak diğer access pointe bağlanıyor. Aşağıdaki şekilde de görebileceğiniz gibi access pointlerin kapsama alanlarında minimum %10’luk bir kesişme alanı bırakıyoruz böylece cihazlar bağlantıları kopmadan diğer access pointin kapsama alanına geçebilirler. Son olarak dikkat etmemiz gereken nokta access pointlerin kullandığı kanalların doğru şekilde ayarlanması olacaktır. Şekilde de görülebildiği gibi kapsama alanları kesişen access pointler birbirleriyle çakışma yapmayacak kanalları kullanacak şekilde ayarlanmalıdır. Eğer ortamdaki access pointlerin hepsini ethernet ortamına bağlama imkanımız varsa kapsama alanını genişletmek için bu yöntemi kullanmalıyız. Bu yöntem en az sayıda access point kullandığımız ve access pointlerin birbirini etkilemediği bir yöntemdir. Switch Uygulamaları Kapsama alanını genişletmek için kullanabileceğimiz bir diğer yöntem access pointlerin hepsini kablolu bir şekilde switchlere bağlamak yerine bazılarını repeater mod’da çalıştırarak sinyali kuvvetlendirmesini sağlamaktır. Bu yöntemde access pointler birbirlerinin kapsama alanları içerisinde olmak durumundadır. Bu yüzden kapsama alanları arasında 55% - 60% civarında bir kesişme vardır. 154 155 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Kablosuz Netowklerde Güvenlik Kablosuz network teknolojisi hayatımızı kolaylaştıran gerçekten güzel bir teknoloji fakat eğer kablosuz networklerin güvenliği sağlanmaz ise bilgi hırsızlıkları ya da izinsiz network erişimleri gibi durumlar başımızı ağrıtabilir. Kablosuz networkleri güvenli bir hale getirmek için kullanabileceğimiz birçok yöntem var. Şimdi bu yöntemleri tek tek inceliyelim ve hangisi gerçekten ne derece güvenlik sağlıyor bakalım. 1. MAC Adres Filitrelemesi MAC adres filitrelemesi sayesinde bir access pointe bağlanabilecek kullanıcıları MAC adres bazlı sınırlıyabiliriz. MAC adresleri ethernet kartlarının kendilerine özel olan adreslerdir ve üretici tarafından kartın üzerine işlenir. Her MAC adresi eşsizdir yani dünya üzerinde aynı mac adresinden bir tane daha yoktur. Fakat MAC adreslerini bir takım yazılımlar vasıtasıyla değiştirmek oldukça kolaydır. Bu yüzden MAC adres filitrelemesi yaptığımız zaman biraz bilgili bir kullanıcı izin verdiğimiz MAC adresi bulabilir ve kendi MAC adresini değiştirerek networke erişim gerçekleştirebilir. Aynı zamanda MAC adres filitrelemesi yaptığımızda paketler şifrelenmeden iletileceği için 3. şahıslar tarafından paketlerin okunması mümkündür. Bu nedenlerden dolayı MAC adress filitrelemesi gerçek anlamda kablosuz networkümüzün güvenliğini sağlayan bir uygulama değildir. Konfigürasyon aşamasında da izin verilecek her cihazın MAC adresinin tek tek eklenmesi büyük ortamlar için konfigürasyon aşamasını zorlaştırır. 2. WEP Şifreleme (WEP Encryption) WEP şifrelemesi sayesinde kablosuz ortamda bilgisayarlar ve access point arasındaki bütün trafik şifrelenerek gönderilir. Bu sayede paketleri sadece şifreyi bilen cihazlar okuyabileceklerdir. Access point ve bilgisayarlar üzerinde ortak bir şifre ayarlanması gereklidir. Şifreleme işlemi cihazlar üzerinde ayarlanan bu şifreler ile gerçekleştirilir. 64-bit, 128-bit gibi farklı şifreleme seviyeleri vardır. Şifreleme seviyesi artıkça şifreleme işlemi daha güvenli hale gelir. WEP şifrelemesinin mantığı oldukça güvenli gözüksede şifreleme işleminde kullanılan algoritmanın kolay kırılabilir oluşu ve sabit şifreler ile şifreleme işleminin gerçekleşiyor oluşu bu algoritmanın günümüz için yeterli bir güvenlik sağlayamamasına neden olmaktadır. Bilgili bir kullanıcı tarafından WEP şifrelemesi kolay bir şekilde kırılabilir ve sonrasında ortamdaki kullanıcıların trafiği okunabilir ya da networke erişim gerçekleştirilebilir. Switch Uygulamaları 156 3. 802.1x Authentication 802.1x authentication (kimlik doğrulama) methodu iki aşamadan oluşan bir güvenlik çözümü sağlar. İlk aşama kimlik doğrulama aşamasıdır. Kablosuz networke erişmek isteyen bir kullanıcı kendisi için tanımlanmış olan kullanıcı adı ve şifre ikilisini doğru bir şekilde yazdıktan sonra bağlantı izni almış olur. Access point kullanıcı adı şifre ikilisini kendi üzerinden kontrol edebileceği gibi istenirse harici bir Radius Server üzerinde de gerçekleştirebilir. Radius Server kullanıcı adı ve şifre ikililerinin kontrolünün yapılabildiği bir sunucudur. Özellikle çok sayıda access pointin olduğu ortamlarda her access point’te kullanıcı adı ve şifreleri tek tek oluşturmak yerine merkezi bir radius server kullanarak kimlik doğrulama aşamasını kolaylaştırmak mümkündür. Kimlik doğrulandıktan sonra AP ile bilgisayar arasında bir şifreleme işlemi gerçekleştirilir. Burada şifreleme algoritması olarak WEP şifrelemesi kullanılır. Daha önceden belirttiğimiz gibi WEP güvenli olmayan bir algoritmadır. Bu yüzden üçüncü şahıslar tarafından şifrenin kırılması ve gönderilen data’nın okunması mümkündür. Fakat kimlik doğrulama aşaması tamamen ayrı olduğu için şifreyi kıran kullanıcı elde ettiği bilgileri network’e erişim sağlamak için kullanamaz. 4. WPA-PSK / WPA2-PSK WPA ve WPA2’de 802.1x authentication’da olduğu gibi iki aşamalı bir güvenlik sistemi vardır. İlk aşama kimlik doğrulama aşamasıdır ve WPA-PSK/WPA2-PSK methodlarında bu işlem Pre Shared Key (PSK) diye isimlendirilen önceden belirlenmiş şifreler ile gerçekleştirilir. Yani Access point üzerinde bir PSK ayarlarız ve kablosuz networke bağlanmak isteyen kullanıcı aynı PSK’yı yazarak bu network’e eriş hakkı sağlamış olur. Erişim hakkı sağlandıktan sonra access point ile kullanıcı bilgisayarı arasında bir şifreleme işlemi gerçekleştirilir. Buradaki en büyük avantaj şifreleme işleminde kullanılan şifrelerin kullanıcı tarafından ayarlanan sabit şifreler olmayışı; her seferinde otomatik olarak belirlenen değişken şifreler oluşudur. WPA ve WPA2 methodlarında kullanılan şifreleme algoritmaları WEP şifrelemesine göre çok daha güvenlidir ve günümüz şartlarında kırılmaları imkansıza yakındır. WPA’da TKIP , WPA2 de ise AES diye isimlendirilen şifreleme algoritmaları kullanılır. WPA-PSK ya da WPA2-PSK günümüz kablosuz networklerinin güvenliğini sağlamak için yeterli methodlardır. Burada dikkat edilmesi gerek tek nokta PSK’nın uzun ve kolay bulunamayacak bir şifre olarak ayarlanmasıdır. 157 ZyXEL Partner Eğitimleri – Netron Technology - 2008 5. WPA / WPA2 WPA ve WPA2’nin yukarıdaki PSK’lı olan versiyonlarından farklı kimlik doğrulama işleminin PSK ile değil kullanıcı adı ve şifreler ile gerçekleştiriliyor oluşudur. 802.1x authentication’da belirttiğimiz gibi burada da her kullanıcının kendisine özel bir kullanıcı adı ve şifresi vardır. Bu kullanıcı adı şifre doğrulama işlemleri bir Radius Server üzerinden gerçekleştirilir. Kimlik doğrulama aşamasında tek bir şifre yerine kullanıcı adı ve şifre şeklinde bir ikilinin oluşu bu algoritmaların PSK’lı versiyonlarına göre çok daha güvenli olmalarını sağlar. Switch Uygulamaları 158 Kablosuz Network Konfigürasyon Örnekleri Bu bölümde kablosuz network kurulumları, kablosuz networklerde güvenlik ayarlarının yapılması gibi konularla ilgili örnek uygulamalarımız olacak. Konfigürasyonlar NWA-3100 serisi access pointler baz alınarak gerçekleştirilmiştir. Diğer ZyXEL ürünlerinde de konfigürasyonlar benzer şekillerde gerçekleştirilmektedir. Örnek uygulamalarımızda web arabiriminin kullanılarak konfigürasyonların yapılışı gösterilecektir. Not: Access pointlerin default IP adresleri 192.168.1.2 olarak ayarlanmıştır. Bu yüzden web arabirimlerine http://192.168.1.2 adresinden erişiyoruz. Username: Admin , Password: 1234 Bir Kablosuz Network Oluşturmak Access pointler üzerinde kolay bir şekilde bir kablosuz network oluşturmak mümkün. Bir kablosuz networkü oluşturmak için temelde ayarlamamız gereken iki önemli değer var. Bunlardan ilki kablosuz networkümüzün ismi yani SSID’si, diğeri ise kablosuz networkümüzün çalışacağı kanal numarası. Access pointin web arabirimine bağlandıktan sonra “WIRELESS > Wireless” menüsüne giriyoruz. Karşımıza yukarıda gördüğümüz gibi bir ekran açılacak. “Operating Mode” yani çalışma modu kısmında “Access Point” seçeneğinin seçili olması gerekiyor. Hemen altındaki “802.11 Mode” kısmı kablosuz networkümüzün çalışacağı standartı belirlememizi sağlıyor. NWA-3100 serisi cihazlar hem 802.11 b/g hemde 802.11a 159 ZyXEL Partner Eğitimleri – Netron Technology - 2008 standartını destekliyorlar. 802.11a standartının farklı bir frekans aralığını kullandığını ve kullanılan frekans aralığının Türkiye’de serbest olmadığını hatırlatalım. Aynı zamanda kullanıcı tarafındaki kablosuz network kartlarının bir çoğu 802.11a’yı desteklememektedir. Bu yüzden burada “802.11b+g” seçeneğini seçiyoruz. “Super Mode” seçeneğinin işaretli olması kablosuz networkümüzün daha hızlı çalışmasını sağlayacaktır. “Choose Channel ID” menüsünden kullanılacak kanalı seçiyoruz. Unutmayın ortamda aynı kanalı kullanan başka kablosuz networklerin olması bizim networkümüzü etkiliyecektir. Ortamdaki diğer kablosuz networkleri kendimiz tarayabilir ya da “Scan” tuşuna basarak access pointimizin bu işi bizim adımıza yapmasını sağlayabiliriz. “SSID Profile” seçeneğine kadar olan ayarlar default şekilde bırakılmalı. “SSID Profile” kısmından herhangi bir seçeneği işaretliyoruz. Bir sonraki ekranda seçtiğimiz SSID ile ilgili ayarları yapacağız; kablosuz networkümüzün ismi gibi. “Enable Breathing LED” cihaz üzerindeki mavi ışığın yanmasını sağlıyor. Eğer ortamda bridge mode’da çalışan başka access pointlerimiz varsa ve bu access pointlerin bir şekilde ethernet bağlantıları aynı networkte buluşyorsa (aynı switche bağlı olmaları gibi) oluşturduğumuz bu yapı döngülere neden olabilir. “Enable STP” seçeneğini işaretlersek switching konusundan hatırlayacağımız spanning-tree protokolü devreye girecektir ve döngülerin oluşmasını engelleyecektir. Ortamda access point modunda çalışan birden çok access pointimiz varsa ve bu access pointler arasında roaming özelliğinin olmasını istiyorsak (Roaming: kullanıcının bir access pointin kapsama alanından çıkıp diğer access pointin kapsama alanına girdiğinde bağlantısı kopmadan geçiş işleminin gerçekleşmesi) “Roaming Active” seçeneğini işaretliyoruz. (Not: Roaming özelliğinin çalışabilmesi için dğer access poinglerde de aynı SSID ismi kullanılmalı.) Gerekli ayarları yaptıktan sonra “Apply” tuşuna basarak ayarları uyguluyoruz. “SSID Profile” seçeneğinden seçmiş olduğumuz SSID ile ilgili ayarları yapmak için “WIRELESS > SSID” menüsüne giriyoruz. Şekilde de görüldüğü gibi bir çok SSID profili bulunuyor. “Wireless” menüsünde seçmiş olduğumuz profili işaretliyoruz ve aşağıdaki “Edit” tuşuna basıyoruz. Karşımıza aşağıdaki gibi bir ekran açılıyor. Switch Uygulamaları 160 Bu ekran da “SSID:” kısmına kablosuz networkmüzün ismini yazacağız. “Hide Name” kısmı “Disable” olarak kalmalı aksi takdirde kablosuz networkün ismi gizlenecektir ve kullanıcılar ortamdaki networkleri taradıklarında bu networkü göremeyeceklerdir. Böyle bir durumda kullanıcı tarafında bu networkün elle eklenmesi ve isminin yazılması gerekiyor. “Security” ve “Radius” profil seçeneklerinden oluşturduğumuz güvenlik profillerinden birini seçerek kablosuz networkümüzde şifrelemeyi aktif hale getirebiliriz. Şifreleme işlemleriyle ilgili örnek uygulamarı ileriki sayfalarda bulabilirsiniz. Diğer ayarları oldukları gibi bırakıp “Apply” tuşuna basıyoruz ve artık kablosuz networkümüz çalışır hale gelmiş oluyor. 161 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Birden Çok Kablosuz Network Oluşturmak NWA-3100 ve NWA-3550 serisi gibi ileri seviye access pointlerin güzel özelliklerinden birisi tek bir access point üzerinde birden fazla kablosuz network oluşturabiliyor olmamız. Düşünün bir firmada firma çalışanları kablosuz olarak networke bağlanıyorlar, aynı zamanda kullandıkları kablosuz IP Phone’lar ve dışarıdan gelen misafirler de aynı access point üzerinden networke erişecekler. Güvenlik açısından bu üç farklı trafiğin aynı ortamda olmaması lazım. Misafir olarak gelen bir kullanıcı belki şifresiz bir şekilde access pointe bağlanarak sadece internet erişimi sağlarken şirket çalışanı şifreli olarak şirket networküne erişebilir. Switchler üzerinde VLAN’ler ile gerçekleştirdiğimiz bu işlemi access pointler üzerinde birden çok kablosuz network oluşturarak gerçekleştiriyoruz. Bu işlemi gerçekleştirebilmek için access pointimizin VLAN desteği olan bir switch’e bağlı olması gerekiyor. Çünkü oluşturduğumuz her kablosuz network switch tarafına ayrı bir VLAN olarak taşınır. Bu işlemi gerçekleştirmek için yapmamız gereken “WIRELESS > wireless” menüsünde çalışma modu olarak “MBSSID” seçeneğini seçmek. Switch Uygulamaları 162 “MBSSID” seçeneğini seçtiğimizde birden çok SSID profili seçebileceğimiz bir kısım açılıyor (“Select SSID Profile”). Burada aktif olmasını istediğimiz SSID’lerin yanındaki kutucuğu işaretlememiz yeterli. SSID’ler ile ilgili konfigürasyonlar önceki örneğimizde gördüğümüz gibi “WIRELESS > SSID” menüsünden gerçekleştirilmektedir. Access Point’i Bridge Mode’da Çalıştırma Access Pointleri Bridge mode’da çalıştırarak iki kablolu networkü kablosuz olarak birbirine bağlayabiliriz. Mesala birbirlerine yakın mesafede olan iki binayı düşünelim. Bu iki bina arasında kiralık bir hat alıp her ay bu hatta belli bir ücret ödemek yerine binalar arasında kablosuz bir bağlantı kurabiliriz. Yapılması gereken tek şey iki binayada birer adet bridge mode’da çalışan bir access point kurmak olacaktır. Bu tür senaryolar için dış ortamlar için üretilmiş NWA-3550 serisi gibi access pointler daha uygun olacaktır. Mesafe fazlayla harici tek yönlü antenler kullanarak bağlantı gerçekleştirilebilir. Access point’leri bridge mode’da çalıştıracağımız zaman iki alternatifimiz var. Sadece bridge olarak çalışmaları ya da hem bridge hemde AP olarak çalışmaları. Sadece brige mode’da çalışrıtdığımızda herhangi bir kullanıcı bu access pointlere bağlanamaz, sadece AP’ler arası iletişim gerçekleşebilir. AP+Bridge Mode’da çalıştırdığımız zaman 163 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ise access point’ler arasındaki iletişim dışında kullanıcılarda aynı access pointler üzerinde networke erişebilirler. Sadece bridge olarak çalıştırmak için yapmamız gereken “WIRELESS > wireless” menüsüne girip “Operating Mode” kısmından “Bridge/Repeater” seçeneğini seçmek ve “Remote Bridge MAC Address” kısmına diğer access pointin MAC adresini yazmak. Access pointlerin MAC adreslerini üzerlerindeki etiketlerden ya da “status” menüsünden öğrenebilirsiniz. MAC adresini yazdığımız satırın yanındaki “Active” kutucuğu işaretli olmalı. “Enable WDS Security” seçeneği işaretlenmediği durumda trafik şifrelenmez. Trafiğin şifrelenmesi için bu seçeneği işaretliyoruz ve MAC adresini yazdığımız yerin sağındaki “PSK” kutusuna ortak bir şifre yazıyoruz. Eğer bridge çalışma modu dışında aynı zamanda cihazın bir access point olarak çalışmasını istiyorsak “Operating Mode” kısmından “AP+Bridge” seçeneğini seçmemiz gerekiyor. Diğer ayarlarda bir değişiklik yok. Switch Uygulamaları 164 Access Point’i Repeater Mode’da Çalıştırma Repeater mode’da çalışan access pointin ethernet bağlantısının olmadığını, bir başka access pointten gelen sinyalleri güçlendirerek ilettiğini söylemiştik. Genelde kapsama alanını genişletmek için ideal bir yol olmasada zaman zaman kablo çekme imkanımız olmayan durumlarda repeater modu kullanabiliyoruz. Böyle bir durumda yapmamız gereken “WIRELESS > wireless” menüsüne girip “Operating Mode” kısmından “Bridge/Repeater” seçeneğini seçmek ve “Remote Bridge MAC Address” kısmına diğer access pointin MAC adresini yazmak. MAC adresini yazdığımız satırın yanındaki “Active” kutucuğu işaretli olmalı. “Enable WDS Security” seçeneği işaretlenmediği durumda trafik şifrelenmez. Trafiğin şifrelenmesi için bu seçeneği işaretliyoruz ve MAC adresini yazdığımız yerin sağındaki “PSK” kutusuna ortak bir şifre yazıyoruz. 165 ZyXEL Partner Eğitimleri – Netron Technology - 2008 WPA-PSK / WPA2-PSK Şifreleme İşlemleri Kablosuz networklerde şüphesiz en önemli nokta güvenlik. Güvenliğin sağlanması için trafiğin şifrelenmesi ve sadece yetkisi olanlar tarafından bu şifrenin çözülebilmesi gerekiyor. Daha önceden de bahsettiğimiz gibi WPA ve WPA2 şifrelemeleri oldukça güvenilir. Bu konfigürasyon örneğimizde PSK’lar (önceden paylaşılmış şifreler) kullanılarak WPA-PSK veya WPA2-PSK uygulamaları nasıl yapılır onu inceleyeceğiz. “WIRELESS > Security” menüsüne giriyoruz. Açılan ekranda bir çok güvenlik profili bulunuyor. Oluşturduğumuz farklı kablosuz networkler için farklı şifreleme algoritmaları ya da farklı şifreler kullanmak bu profiller sayesinde gerçekleştiriliyor. Profillerden herhangi bir tanesini seçerek aşağıdaki “Edit” tuşuna basıyoruz ve karşımıza yeni bir ekranda ilgili profilin konfigürasyonu açılıyor. Switch Uygulamaları 166 Açılan bu ekranda “Security Mode” kısmından kullanmak istediğimiz algoritmaya göre WPA-PSK, WPA2-PSK, ya da WPA2-PSK-MIX seçeneklerinden birini seçeceğiz. WPA2 daha güvenilir olmasına rağmen bazı eski cihazların bu algoritmayı desteklememesinden dolayı WPA kullanmak zorunda kalabiliyorduk. WPA2-PSK-MIX ise buna bir çözüm sunuyor; eğer client tarafı WPA2 destekliyorsa öncelikli olarak o tercih ediliyor, desteklemiyorsa WPA şifrelemesi yapılıyor. İstenilen seçim yapıldıktan sonra “Pre-Shared Key” kısmına minimum 8 haneli şifremizi yazıyoruz. Kullanıcılar kablosuz networke bağlanmak istediklerinde kendilerinden bu şifreyi girmeleri istenecektir. Güvenlik profili oluşturulduktan sonra “WIRELESS > wireless” menüsündeki “Security” kısmından ilgili profil seçilerek işlem tamamlanabilir. RADIUS İle WPA / WPA2 şifreleme Büyük işletmeler kablosuz network erişimi için ortak bir şifre kullanımı yerine kimlik doğrulama işleminin bir RADIUS Server üzerinden gerçekleştirilmesini isteyebilirler. Bu çok daha güvenli bir işlem olacaktır. Access pointlerimiz üzerinde bu işlemi kolay bir şekilde gerçekleştirebiliriz. Tabi ortamda kurulu ve çalışır vaziyette olan bir RADIUS server olmalı. RADIUS Server yazılımlarının ücretsiz versiyonları internet üzerinden kolaylıkla bulunabilir ya da windows server versionları içerisindeki radius server özelliği kullanılabilir. Access point tarafındaki konfigürasyonumuz şu şekilde: “WIRELESS > Security” menüsünden bir profili seçip “Edit” tuşuna basıyoruz. “Security Mode:” kısmından WPA ya da WPA2 seçeneğini seçiyoruz. 167 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Daha sonra “WIRELESS > RADIUS” menüsüne giriyoruz. Farklı kablosuz networkler için farklı RADIUS serverları kullanmak mümkün. “Index” kısmından seçtiğimiz numaralar sayesinde farklı RADIUS konfigürasyon profilleri oluşturabiliriz. Her profilde birincil ve yedek olmak üzere iki radius server tanımlamak mümkün. Oluşturduğumuz profile bir isim verdikten sonra “Primary” başlığı altında yer alan “RADIUS Server IP” kısmına RADIUS Server’ın IP adresini yazıyoruz. (Not: Öncelikli olarak radius server’ın AP’ye ulaşıp ulaşamadığını ping atarak test etmekte fayda var). RADIUS server’ın kullandığı port numarasını belirtip daha sonra “Share Secret” kısmına RADIUS ile access point arasında kullanılacak ortak bir şifre yazıyoruz. Varsa benzer ayarlar yedek RADIUS sever içinde “Backup” başlığı altında yapılabilir. Ayarları yaptıktan sonra “Active” kutucuğunu işaretliyerek “Apply” tuşuna basıyoruz. “Accounting” ifadesi geçen ayarlar kimlik doğrulaması ile ilgili işlemler hakkında RADIUS server üzerinde kayıt tutulmasını sağlar. Tabiki RADIUS serverın accounting desteğinin olması gerekiyor. Opsiyonel olarak accounting ile ilgili ayarlarıda aynı şekilde yapabiliriz. Switch Uygulamaları 168 ZyAIR G-570S Kurulum ve Konfigürasyonu ZyXEL G-570S Süper G ve Turbo G kablosuz teknolojileri ile dördü bir arada bir erişim noktası(Access Point)’dır . Access Point (Erişim Noktası), repeater (Tekrarlayıcı), bridge(Köprü) ve wireless client (kablosuz istemci) fonksiyonları size G-570S’i değişik ağ yapılandırmalarında kullanmanıza izin verir. Süper G ve Turbo G teknolojileri toplam kablosuz data alışverişini artırır. G-570S kablosuz ağ alanınızı genişletmek için bridge ( köprü ) ve repeater ( tekrarlayıcı ) olarak çalışabilir.G-570s’i ayrıca başka bir erişim noktası üzerinden kablolu ağa erişim içinde kullanabilirsiniz. G-570S hareketli kullanıcılara yüksek güvenlikli kablosuz bağlantı vermek için IEEE 802.1x, WEP data şifreleme, WPA (Wi-Fi Protected Access), WPA2 ve MAC adres filtrelemeyi kullanır.Hem IEEE 802.11b hem de IEEE 802.11g uyumlu kablosuz cihazlar G-570S ile çalışabilir. Bunlara ek olarak G-570S’i kurmak ve ayarlamak kolaydır. G-570S’in her dört mod için uygulaması ve ayarları aşağıda anlatılacaktır. ZyAIR G-570S Access Point (Erişim Noktası ) için Web Konfigürasyonu Aşağıdaki ağ yapılandırılmasında görüldüğü üzere kablosuz ağ kullanıcıları Access Point olarak çalışan G-570S’e kablosuz olarak bağlanıp onun üzerinden internete bağlanmaktadırlar.Bununla ilgili G-570S üzerinde yapılması gereken konfigürasyon aşağıda anlatılmıştır. 169 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Cihaza bağlanmak için öncelikle web browserın adres çubuguna cihazın default IP si olan 192.168.1.2 yazılır. Gelen şifre ekranına default password olarak “1234” girilir. Bir sonraki ekranda G-570S’i konfigure etmek için hangi Dil seçeneğini kullanacağımız soruyor.Burda English’i seçiyoruz ve Apply butonuna basarak ilerliyoruz. Switch Uygulamaları 170 Şimdiki gelen ekranda hızlı yapılandırma için Go Wizard Setup Seçeneğini seçebilir veya geniş ve ayrıntılı bir yapılandırma yapmak için Go Advanced Setup seçeneğini seçebilirsiniz.Biz burda Go Wizard Setup seçeneğini seçerek Apply butonuna basıyoruz. Şimdiki ekranda IP yapılandırılması için ayarların yapıldığı ekranı görüyorsunuz.Eğer özel bir konfigürasyonunuz yok ise IP adresini değiştirmeyin.Biz değiştirmeden Next butonuna basıyoruz. 171 ZyXEL Partner Eğitimleri – Netron Technology - 2008 SSID kablosuz ağınızı tanımlamak için verilen bir isimdir.Bu ismin ortamdaki başka bir kablosuz ağda kullanılmaması önerilir.Channel de haberleşmenin gerçekleşmesini istediğiniz kanalı seçebilirsiniz. Biz burda bir değişiklik yapmadan Next butonuna basarak ilerliyoruz. Security Settings kısmında , haberleşmenin şifreli olmasını isterseniz, istediğiniz şifreleme yöntemini seçebilirsiniz.Buradaki şifreleme tiplerini kullanabilmek için kablosuz alıcınızın da bu şifreleme tiplerini desteklemesi gerekiyor.Biz burda WEP şifrelemeyi seçiyoruz.Bu seçimden sonra WEP şifreleme ile ilgili ayar ekranı geliyor. Switch Uygulamaları 172 G-570S 64,128 ,156 bit şifrelemeyi destekler. 64 bit için 5 ASCII veya 10 hexadisemal, 128 bit için 13 ASCII veya 26 hexadisemal , 156 bit için 16 ASCII veya 32 hexadisemal karakter girilmelidir. Karşılıklı haberleşmenin sağlanabilmesi için Client tarafında da bu şifrenin girilmesi gerekmektedir. Biz burda 64 bit şifreleme seçiyoruz ve 5 karakterli şifremizi giriyoruz.Devam etmek için Next butonuna basıyoruz. 173 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Switch Uygulamaları 174 Gelen ekran yaptığımız ayarların özetini gösteren bir doğrulama ekranıdır. Bu gelen ekrandaki ayarların özetinde bir sorun yok ise işlemi bitirmek için Finish butonuna basıyoruz. Finish butonuna bastıktan sonraki ayarların kaydedilmesi sürecinde yukardaki ekranı göreceksiniz.Cihaz yaptığınız ayarları kaydedittikten sonra otomatik olarak aşağıdaki Status ekranını getirecektir.Bu ekranda cihaz hakkındaki genel bilgileri görebilirsiniz.Ayrıca cihaza bağlanmış olan kullanıcıları Summary menüsü altındaki View Association List linkine tıklayarak gözlemleyebilirsiniz. 175 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Sahip oldugunuz kablosuz PCI, PCMCIA veya USB kartı kullandıgınız cihaza ( PC veya notebook ) tanıttıktan sonra ister kendi utility ile ister windows un kendi utility ile site surver taraması yaptırdıgınızda ortamdaki Access Point (Erişim Noktası)’nı bulacaktır.Bulduğu bu yayına ağ şifresini girerek otomatik bağlanabilirsiniz. G-570S’in AP+Repeater modda ayarlanmasını Şimdi ikinci olarak 2 Adet G-570S’in AP+Repeater modda ayarlanmasını göreceğiz.Aşağıdaki şekilde de göreceğiniz üzere 2 adet G-570S kendi etraflarında ki kullanıcılara kablosuz yayın yaparken aynı zamanda kendi aralarında da kablosuz haberleşebilmektedir.Bu şekilde birinci G-570S e kablosuz bağlı bir kullanıcı ikinci G-570S e bağlı diğer kullanıcı ile haberleşebilir. Öncelikle Switch Uygulamaları 176 birinci G-570S’in AP+Repeater ayarlanmasını gösterelim.Bunun için sırası ile aşağıdaki adımları sırası ile yapmalısınız: 1- Cihaza Web arayüzünden eriştikten sonra ana menüdeki G-570S başlığı altındaki Wireless bölümüne girin. 2. Daha sonra aşağıdaki ekrandada görüldüğü gibi Operation Mode açılan liste kutusundan AP+Repeater seçin. 3. SSID bölümüne birinci G-570S in lokaldaki kablosuz ağını tanımlamak için 32 karaktere kadar bir isim girin.Kablosuz kullanıcılar bu kablosuz ağı kendi alıcılarında bu isimle göreceklerdir. 4. Channel alanından lokalde kullanmak istediğiniz kablosuz ağın kanalını seçin. 5. WDS Settings alanının altındaki Remote MAC Address 1 bölümüne ikinci G570S in MAC adresini yazın.Cihazların kendi MAC adresleri Local MAC Address sütununun sağ tarafında yazılıdır. Diğer cihazın kutusunun alt kısmına bakarak veya bu cihazın web arayüzünden Local MAC Address bölümüne bakarak MAC adresini yazabilirsiniz.Menüden de göreceğiniz üzere bir G-570S’i i 4 tane G-570S ile haberleştirebiliyoruz. 6. Yaptığınız değişiklikleri kaydetmek ve ayarlamayı bitirmek için Apply butonuna basın. 177 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Şimdi ikinci G-570S deki ayarlamaları aşağıda görüldüğü gibi yapabilirsiniz.Burada tek farklılık olarak Remote MAC Address bölümüne karşı cihazımız olan birinci G570S’in MAC adresini yazmış olacağız.Buradaki AP ayarlarını istediğiniz gibi değiştirebilirsiniz. Apply butonuna basıp ayarlarınızı kaydettiğinizde artık 2 adet G-570S hem etraflarındaki kullanıcılara kablosuz ayın yapacak hem de karşıdaki diğer G-570S ile haberleşebilecektir. Böylece birinci G-570S’e bağlı bir kullanıcı önce kablosuz olarak birinci G-570S’e gelecek.Daha sonra iki G-570S’in arasındaki kablosuz hattı kullanarak ikinci G-570S’e ulaşacak.Daha sonra da ikinci G-570S üzerinden ikinci G-570S’e bağlı diğer kullanıcıya erişecek. G-570S’in Bridge Modda Ayarlanması Bu uygulama örneğindeki amaç aşağıdaki şekilde de görüldüğü üzere 2 adet G-570S ile iki farklı kablolu ağı kablosuz olarak birbirine bağlamaktadır.G-570S’leri bu modda çalıştırdığınızda bu cihazlar sadece kendi aralarında haberleşebileceklerdir.Ortamdaki kablosuz ağ kullanıcılarına hizmet vermeyeceklerdir.Bu uygulamadaki konfigurasyon bir önceki AP+Repeater konfigürasyonu ile hemen hemen aynıdır.Tek farklılık güvenlik ile ilgili yaptığınız ayarlar bu iki cihaz arasındaki bağlantıda geçerli olacaktır.Bir önceki uygulamada güvenlik ile ilgili yapılan ayarlar sadece cihazların AP uygulamasını etkilemektedir.Aradaki Repeater bağlantı için bir güvenlik Switch Uygulamaları koyulamamaktadır.Bu bridge modunda ise iki cihaz arasındaki kablosuz bağlantı şifrelenebilmektedir. Bridge mod uygulamasına ait konfigurasyon örneği aşağıda gösterilmiştir.Her iki cihazda Bridge mod seçildikten sonra her iki cihazın MAC adresleri karşılıklı olarak birbirlerine girilir.Bu bağlantıda güvenlik yapılması isteniyorsa Security ve MAC Filter kısımlarından bu ayarlamalar yapılabilir. Birinci G-570S’in konfigürasyon ekranı: İkinci G-570S’in konfigürasyon ekranı: 178 179 ZyXEL Partner Eğitimleri – Netron Technology - 2008 G-570S’in Client Modda Ayarlanması Bu uygulama örneğinde aşağıdaki şekilde de görüldüğü üzere G-570S bir kablosuz alıcı adaptör gibi davranmaktadır.Bu modda G-570S yayın yapan bir AP den aldığı yayını kablo ile bağlı olduğu kullanıcı bilgisayarına aktarabilmektedir. Bu uygulamaya ait G-570S üzerinde yapılması gereken konfigürasyon örneği aşağıdaki şekilde gösterilmiştir. Switch Uygulamaları 180 Bu ekranda bağlanmak istediğimiz ağa ait ayarları kendimiz manuel olarak giriyoruz.Diğer kablosuz ağ adaptörlerinde olduğu gibi ortamdaki kablosuz ağları ve güvenlik özelliklerini otomatik görebileceğimiz ve bu ağa otomatik bağlanabileceğiniz bir ekran bulunmamaktadır.Bu yüzden bağlanacağımızın ağın SSID , channel (kanal) ve güvenlik ayarlarını bilmeniz ve bu değerleri cihazın web arayüzünden manuel olarak girmeniz gerekmektedir. Cihazınızı bu moda aldıktan sonra ortamdaki ağları ve bu ağlara ait genel bilgileri ana menüdeki view association list linkine tıklayarak görebilirsiniz. 181 ZyXEL Partner Eğitimleri – Netron Technology - 2008 MESAFE Zyxel G-570S nin kapsama alanı; 1 adet 2 dBi lik dahili omni anteni ile indoor da 50m – 80 metre arası ile outdoor da 150-300 metre dir.Bu mesafede dairesel bir yayın yapar. Zyxel G-570S cihazına harici antenler takabilirsiniz.Taktığınız antenin gücüne gore mesafeyi artırabilirsiniz. Yukarda verilen değerlerin hepsi açık alan ( line of sight ) için geçerlidir.Ortam koşullarına bağlı olarak bu değerler değişebilir.Bu çok önemli bir husustur. Switch Uygulamaları 182 IP DSLAM ve Hot Spot Gateway’ler IP DSLAM (Digital Subscriber Line Access Multiplexer) DSLAM tanımını kısaca dsl bağlantısının sonlandırıldığı bir tür switch olarak yapabiliriz. Genellikle servis sağlayıcı tarafında kullanılan bu cihazlar üzerinde kullanıcılardan gelen DSL hatları sonlanır ve data buradan internet bağlantısının gerçekleştireleceği bir router’a aktarılır. Aynı zamanda bazı DSLAM’lar üzerinde bulunan dahili spliterlar sayesinde telefon hattı ile data hattı birbirinden ayrılır. Eğer kullanılan DSLAM üzerinde spliter bulunmuyorsa kullanıcıdan gelen hatlar önce harici bir spliter’da toplanarak ses trafiği data trafiğinden ayrılmalıdır. DSLAM’lar sadece servis sağlayıcı tarafında kullanılan cihazlar değildir. Farklı amaçlarla müşteri networkünde kullanmakta mümkündür. Peki bir müşteri networkünde DSLAM kullanmak bize ne gibi bir avantaj sağlayabilir? Sağladığı en büyük avantajlardan biri uzak mesafelere data taşınmasını mümkün hale getirmektir. Mesela bir siteyi düşünelim. Diyelimki sitedeki bütün dairelere internet erişimi sağlanacak. Bunu ethernet teknolojisini kullanarak gerçekleştirmek isteseydik ethernetteki 100 metrelik mesafe sınırlaması yüzünden bir çok switch kullanmamız gerekecekti. Oysa bir DSLAM kullandığımız zaman 2 telli telefon kablosu üzerinden 6km gibi bir mesafeye kadar bağlantıyı gerçekleştirebiliriz. Bu da tek bir DSLAM üzerinden site içerisindeki bütün dairelere bağlantıyı kolay bir şekilde gerçekleştirmemize olanak sağlayacaktır. DSLAM kullanmanın bir diğer avantajı ise ekstra kablolama derdinden bizi kurtarışıdır. Yine aynı örnek üzerinden yola çıkacak olursak bir sitedeki bütün dairelere internet erişimi dağıtılmak istendiğinde bunu ethernet bağlantısı ve switchlerle gerçekleştirmeye çalışırsak her daireye bir ethernet kablosu çekmemiz gerekecektir. Bu da oldukça maliyetli ve kimi durumlarda mümkün olmayabilir. Oysa bir DSLAM kullanarak ADSL ile dairelere internet dağıtmayı tercih edersek ekstra bir kablolama yapma gereksinimi kalmayacaktır. Zaten her daireye giden bir telefon hattı bulunmaktadır. Yapmamız gereken bu telefon hatlarını DSLAM’da toplamak ve dairelere birer ADSL modem bağlamak olacaktır. Yukarıda verdiğimiz örnekte de belirttiğimiz gibi kablolama ve mesafe sorunlarının olduğu ortamlarda internet dağıtımı için DSLAM ve ADSL teknolojisini kullanmak güzel bir alternatiftir. Örnekleri çoğaltmamız mümküm. Mesela bir otelde odalara internet dağıtımı için DSLAM kullanılabilir. Ya da aynı şekilde bir hastanede, öğrenci yurdunda, büyük bir fabrikada, bir apartman ya da site ortamında DSLAM kullanmak mümkündür. ZyXEL IP DSLAM çözümleri alternatif ürün çeşitleri sayesinde 8 kullanıcıdan 1000’lerce kullanıcının olduğu ortamlara kadar ihtiyaçları karşılayabilecek seviyededir. 183 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Hot-Spot Gateway’ler Günümüzde bir çok otel, hastane, restorant, cafe vb. Kuruluşlar müşterilerine internet erişimi hizmeti sağlamaktadır. Bu kuruluşlardan bir kısmı internet erişim hizmetini ücretsiz bir servis olarak sunarken bazı kuruluşlar bu servisi ücretlendirmek istemektedir. ZyXEL’in hot-spot gateway ürünleri bu tür kuruluşların isteğini kolay bir şekilde gerçekleştirmelerine olanak sağlayacak ürünlerdir. Hot-spot gateway ürünlerinin kullanıldığı ortamlarda kullanıcı kablolu ya da kablosuz bir şekilde networke bağlandıktan sonra bir internet sayfasına erişmeye çalıştığında kendisinden bir kullanıcı adı ve şifre istenecektir. Internet erişim hakkı sadece doğru kullanıcı adı ve şifre girildiği taktirde gerçekleşebilecektir. Hot-spot gatewat ürünlerinde kullanıcılara geçici süreliğine internet erişimi sağlayacak kullanıcı adı ve şifrenin temin edilmesi oldukça kolaydır. Bu ürünlerle beraber kullanılan ufak 3 tuşlu yazıcılar kuruluşun farklı noktalarına konumlandırılabilir. Yazıcılar üzerinde bulunan tuşlar önceden firma sahibinin talebi doğrultusunda programlanır. Mesela birinci tuş bir saatlik internet erişimi, ikinci tuş beş saatlik internet erişimi, üçüncü tuş bir günlük internet erişimi gibi. Müşteri bu yazıcıların bulunduğu noktalardan istediği süreye uygun seçeneklerden birini seçerek internet erişimi için kullanacağı kullanıcı adı ve şifreyi temin edebilir. ZyXEL ürünleri arasında iki farklı hot-spot gateway ürünü bulunmaktadır. Bunlardan ilki G-4100 v2 serisidir. Bu ürün hem bir access-point hemde bir hot-spot gateway’dir. Kullanıcılar kablosuz bir şekilde bu ürün üzerinden internet erişimi gerçekleştirebilirler. Aynı zamanda üzerinde bulunan ethernet portları sayesinde cihazın bir switche bağlanması ve switch üzerindeki diğer access-pointlere bağlı kullanıcıların ya da switch üzerinden kablolu şekilde internete erişmek isteyen kullanıcıların kontolünü gerçekleştirebilir. Bu ürüne sadece bir adet yazıcı üzerindeki seri porttan bağlanabilmektedir. Bu yüzden yazıcı ile G-4100 arasında çok fazla mesafe olamaz. Diğer hot-spot gateway ürünü ise VSG-1200’dür. Bu ürün üzerinde bulunan 4 adet ethernet portuna switch ya da access-point bağlayarak bir çok kullanıcının internet erişimini kontrol etmek mümkündür. Ürünü G-4100’den ayıran en büyük özellik ethernet arabirimli yazıcıları (SP-200E) desteklemesidir. 10 Adete kadar ethernet arabirimli yazıcı farklı noktalara dağıtılarak aynı anda kullanılabilir. Bu ürünler ile internet erişimini ücretlendirmek dışında ana sayfaya reklam alma, çoklu URL-bağlantısı yönlendirme gibi işlemler de gerçekleştirilebilir. Aynı zamanda bazı sayfalara ücretsiz erişime izin vermekte mümkündür. Switch Uygulamaları 184 Örnek DSLAM ve Hot-Spot Gateway Kullanım Senaryosu ve Konfigürasyonları Bu bölümde 100 odalı bir otelde odalara kablolu internet dağıtımını ve internet erişiminin ücretlendirilmesini sağlayan bir senaryo üzerinde konuşacağız. Kullanılan ürünlerin adım adım konfigürasyonlarının nasıl yapıldığını göreceğiz. Kullanılan ürünler; • VSG-1200 v2 hot-spot gateway • ES-2108 L2 Managed 8 port switch • IES-1248-51A ADSL2/2+ IP DSLAM (2 Adet) • ADSL2/2+ Modem (Her odada bir tane) Oluşturacağımız topoloji aşağıda görüldüğü gibidir. Gördüğünüz gibi otelimiz ADSL hattı üzerinden internet erişimini gerçekleştiriyor. Servis sağlayıcıdan gelen telefon hattı bir ADSL modeme bağlanmış ve bu ADSL modem’in LAN arabiriminden VSG-1200’ün WAN portuna bağlantı yapıyoruz. Böylece internete çıkmak isteyen bütün trafik VSG-1200 üzerinden geçecek ve sadece erişim hakkına sahip kullanıcılar internete bağlanabilecekler. VSG-1200’ün LAN arabiriminden switche bir bağlantı gerçekleştirilmiş ve aynı switch üzerine 185 ZyXEL Partner Eğitimleri – Netron Technology - 2008 DSLAM’larımızın uplink portlarından gelen ethernet kabloları bağlı. Odalardan gelen telefon hatları DSLAM üzerindeki user arabirimlerinde sonlandırılmış durumda ve aynı zamanda otelin telefon santrelinden gelen hatlarda aynı DSLAM üzerindeki CO arabirimlerine bağlanmış. Bu sayede telefon hatları hem ses görüşmesi için hemde internet erişimi için kullanılabiliyor. Odalarda ise ADSL modemlerimizin olduğunu görüyoruz. Kullanıcılar ADSL modem üzerinden ethernet bağlantısı ile ya da kablosuz bağlantı destekleyen modemlerin kullanılması durumunda kablosuz bir şekilde internete erişebilecekler. Evet fiziksel bağlantımız bu şekilde gelelim kullanılan cihazların konfigürasyonlarına. VSG-1200 v2 Konfigürasyonu Öncelikli olarak bilgisayarımızı VSG-1200’ün LAN arabirimlerinden birine bağlıyoruz. Bilgisayara statik bir IP adresi vermemize gerek yok. IP adresini VSG-1200 üzerinde çalışan DHCP sunucudan otomatik olarak alacaktır. Bilgisyar IP adresini aldıktan sonra bir internet exploler gibi bir web browser açarak adres kısmına http://10.59.1.1 yazıyoruz. Bu VSG-1200’ün default LAN IP’si. Bizden bir kullanıcı adı ve şifre istenecek. Default kullanıcı adı “admin”, default password ise “1234”. Switch Uygulamaları 186 Başarılı bir giriş yaptığımızda aşağıdaki gibi bir ekran karşımıza çıkacak. Öncelikli olarak VSG-1200’ün WAN arabiriminin konfigürasyonunu yapalım. Bunun için “System Settings > WAN / LAN” menüsüne giriyoruz. Karşımıza aşağıdaki gibi bir ekran çıkacak. 187 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Burada internet bağlantımızın türüne göre gerekli ayarları yapmamız gerekiyor. Eğer bir metro ethernet bağlantısı varsa “Use fixed IP address” seçeneğini seçip gerçek IP adresimizi yazabiliriz. Internet erişimi için Routing mode’da çalışan bir ADSL modem kullanıyorsak “Get automatically from DHCP server” seçeneğini işaretliyebiliriz. Eğer ADSL modemimizi bridge mode’da çalıştırıyorsak “PPPoE” seçeneğini işaretleyerek açılan ekranda adsl bağlantısı için verilen kullanıcı adı ve şifre bilgilerini yazmalıyız. Ayarları yaptıktan sonra “Apply” tuşuna basarak yaptıklarımızı kaydediyoruz. Artık VSG-1200’ün ve ona bağlı kullanıcıların internete erişebiliyor olması lazım. Bir browser açıp internet bağlantısını kontrol edebilirsiniz. Şimdi zaman bazlı işlemlerin düzgün şekilde gerçekleşebilmesi için VSG-1200’ün saatini ayarlıyalım. Bu işlem için “System Setting > System” menüsüne giriyoruz. Yukarıda da görüldüğü gibi “Date” kısmına yıl, ay, gün bilgilerini, “Time” kısmınada saat, dakika, ve sanite bilgilerini yazıp “Apply” tuşuna basıyoruz. Evet artık sistemin saat ve tarih bilgilerinide ayarlamış olduk. Şimdi gelelim kimlik doğrulama işlemini aktif hale getirmeye. Şu anda bir kimlik doğrulama işlemi olmadığı için VSG-1200’e bağlı tüm kullanıcılar internete erişebilir. Oysa biz internet erişimini ücretli bir hale getirmek istiyorduk. Bunun için kimlik doğrulama yani authentication ayarlarını yapmalıyız. Switch Uygulamaları 188 Kimlik doğrulama ayarlarını yapmak için “System Setting > Authentication” menüsüne giriyoruz. Açılan ekranda “Built-in Authentication” seçeneğini işaretliyerek “Apply” tuşuna basıyoruz. “Built-in Authentication” seçeneği cihazın kullanıcı adı ve şifre bilgilerini kendi üzerinde doğrulamasını sağlıyor. Tabi şu ana kadar herhangi bir kullanıcı adı veya şifre oluşturmadık. Burada kullanıcı adı ve şifre ikililerini oluşturmak için iki alternatifimiz bulunuyor. Birincisi dinamik kullanıcı adı ve şifreler. Dinamik kullanıcı adı şifreler yazıcılar üzerindeki tuşlara bastığımız zaman otomatik olarak oluşturulur. Her seferinde farklı bir kullanıcı adı ve şifre ikilisi ortaya çıkar ve yazıcının çıkarttığı kağıt üzerinde bu bilgiler yer alır. Böylece kullanıcı kağıt üzerindeki kullanıcı adı ve şifreyi kullanarak internete erişebilir. Yani bizim her kullanıcı için ayrı bir kullanıcı adı şifre oluşturmamıza gerek kalmaz, tüm işlem otomatik olarak yapılır. Bir diğer seçenek ise statik kullanıcı adı ve şifreler oluşturmaktır. Sabit ve sürekli erişim yetkisi olan kullanıcılar için statik kullanıcı adı ve şifreler oluşturulabilir. Bu işlemlerin nasıl yapıldığına daha sonra değineceğiz. 189 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Gelelim ücretlendirme işleminin yapılışına. Yazıcılar üzerinde 3 tuş olduğunu ve bunların farklı süreler için internet erişimi sağlamak amacıyla kullanılabileceğini söylemiştik. Bu işlem için ücretlendirme profilleri oluşturmamız ve bu profilleri yazıcı üzerindeki tuşlara atamamız gerekiyor. Ücretlendirme profili oluşturmak için “System Setting > Billing” menüsüne giriyoruz. Yukarıda da görülebildiği gibi 10 farklı profil oluşturma imkanımız var. Fakat unutmayalım yazıcılar sadece 3 profili destekliyor. Bir profil oluşturmak için ilgili profil satırındaki “Active” kutucuğunu işaretliyeceğiz ve satırın sonundaki “Profil Setting” sütunundaki “Edit” tuşuna basacağız. Switch Uygulamaları 190 “Edit” tuşuna bastığımızda yukarıdaki gibi bir ekran açılacak. Burada “Name” kısmından ilgili profile herhangi bir isim veriyoruz. “Description” kısmına profili açıklayan özet bir bilgi yazıyoruz. “1 gün 10 YTL” gibi. Daha sonra bu profilin ne süreliğine internet erişim hakkı tanımlayacağını ayarlıyoruz. Örneğimizde 1 günlük internet erişimi sağlayan bir profil oluşturulmuş. Müşteri ihtiyaçlarına göre profiller bu şekilde oluşturulabilir. Aynı ekrandan kullanıcıların bandgenişliğini sınırlamakta mümkün. Böylece bir kullanıcının bütün bandgenişliği sömürmesi engellenmiş olacaktır. 191 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Daha önce kullanıcı adı ve şifrelerin iki farklı şekilde oluşturulabildiğini söylemiştik. Yazıcı üzerindeki tuşlara basılması ile dinamik olarak kullanıcı adı ve şifrenin oluşturulması ilk yöntemdi. Bunun için herhangi bir ayar yapmamıza gerek yok. Yazıcıyı VSG-1200’e tanıttıgımız zaman otomatik olarak bu işlem gerçekleşecektir. Daha sonra yazıcıların nasıl tanıtıldığını inceleyeceğiz. Bir diğer yöntemde kullanıcı adı ve şifreleri statik olarak oluşturmaktı. Böylece sürekli bağlatı ihtiyacı olan sabit kullanıcıları her seferinde fiş alma derdinden kurtarabiliriz. Statik olarak kullanıcı eklemek için “System Setting > Accounting” menüsüne giriyoruz. Yukarıda da görülebildiği gibi bu ekrandan statik kullanıcı adı eklememiz ya da oluşturulmuş statik kullanıcıları görüntülememiz mümkün. İstersek dinamik oluşturulmuş kullanıcılarıda görüntülüyebiliriz. Bunuda aynı ekranda ekranın üzerinde bulunan “Dynamic Account” tuşuna basarak gerçekleştirebiliriz. Switch Uygulamaları 192 Yazıcıların VSG-1200 ile kullanılması VSG-1200 ile iki farklı yazıcı kullanılabiliyor. Bunlardan ilki SP-200 modeli olan seri bağlantılı bir yazıcı. SP-200 seri kablo ile VSG-1200’e bağlandığı için aralarında en fazla 10 metre gibi bir mesafe olması mümkün. Bu yüzden kullanılabilirliği biraz düşük. Bu yazıcıdan aynı anda VSG-1200’e sadece bir tane bağlanabilir. VSG-1200 ile kullanılabilecek diğer yazıcı modeli ise SP-200E. SP-200E ethernet arabirimine sahip olan bir yazıcı modeli. Bu yüzden networkümüzde herhangi bir noktaya konumlandırmak mümkün. Aynı anda 10 taneye kadar SP-200E tek bir VSG1200 ile kullanılabilir. SP-200E yazıcıların kullanılabilmesi için yazıcılar üzerinde bir takım ayarlar yapmamız ve VSG-1200 üzerinde bu yazıcıları tanıtmamız gerekiyor. VSG-1200 üzerinde yazıcıları tanıtmak için “Advanced Setting > Account Generator” menüsüne giriyoruz. 193 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Yukarıda da görülebildiği gibi açılan ekranda öncelikli olarak yapmamız gereken “Account Generator” seçeneğini “Enable” olarak seçmek. Daha sonra “Ethernet Thermal Printer IP Address” kısmına yazıcılarımızın IP adreslerini yazıyoruz. Yazıcılar üzerinde IP adreslerini statik olarak biz ayarlıyoruz. Az sonra bu işlemden de söz edeceğiz. “Encryption” kısmından “Enable” seçeneğini işaretliyerek cihazlar arasında şifreli konuşmayı sağlıyabiliriz. “Enable” seçeneğini işaretledikten sonra “Secret Key” kutusuna yazıcılarda da aynı olacak şekilde ayarlıyacağımız ortak bir şifre yazıyoruz. Daha sonra “Apply” tuşuna basarak yaptığımız ayarları kaydediyoruz. VSG-1200 tarafında yapmamız gereken işlem bu kadardı şimdi yazıcıların üzerinde yapmamız gereken işlemleri inceliyelim. SP-200E modeli yazıcıların ethernet arabirimine sahip olduğunu söylemiştik. Bu yazıcılar elektrik ihtiyacını ethernet üzerinden temin edebilirler. Yani PoE (Power over Ethernet) desteğine sahipler. Tabi bu işlemin gerçekleşebilmesi için “power injector” dediğimiz ethernet kablosuna elektrik yükleyen cihazların kullanılması gerekmektedir. İstenirse PoE yerine harici bir adaptörle de yazıcıyı çalıştırmak mümkündür. Yazıcıyı ethernet kablosu ile bilgisayarımıza bağladıktan sonra yazıcıyı power düğmesinden çalıştırıyoruz. Daha sonra bilgisayarımıza 192.168.1.2 gibi 192.168.1.0/24 networkünden bir IP adresi veriyoruz. (192.168.1.7 hariç) Bir web browser açarak adres kısmına http://192.168.1.7 adresini yazıyoruz. (SP200E modeli yazıcıların default IP adresi 192.168.1.7) Her zamanki gibi default kullanıcı adı “admin” ve şifre ise “1234” Switch Uygulamaları 194 Açılan ekranda yazıcının IP adresini değiştirip VSG-1200 ile aynı networkten bir IP adresi vermemiz gerekiyor. (Bizim örneğimizde 10.59.1.0/24 networkü) VSG-1200’ün IP adresini tanıtıp şifrelemeyi açtıysak kullanılan ortak şifreyide yazmalıyız. Yukarıda görüldüğü gibi gerekli ayarları yaptıktan sonra “Apply” tuşuna basarak ayarları kaydediyoruz. Artık yazıcıyı bilgisayardan sökerek networke bağlıyabiliriz. Yazıcıyı switche bağladıktan sonra üzerindeki tuşlardan birine basarak çalışıp çalışmadığını test edebilirsiniz. Daha önce yapmış olduğumuz “Built-in Authentication” ve “Billing Profiles” ayarları sayesinde yazıcı üzerindeki tuşlar otomatik olarak oluşturduğumuz ilk üç ücretlendirme profiline eşleşmiş oldu. Bu tuşlardan birine bastığımızda dinamik bir kullanıcı oluşacak ve yazıcıdan kullanıcı adı şifre bilgileri çıkacaktır. 195 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ES-2108 Switch Konfigürasyonu ES-2108 topolojimizde VSG-1200 hot-spot gateway ile IES-1248-51A DSLAM’ler arasındaki ana switch rolünde. Switch üzerinde hiç bir ayar yapmasakta aslında yapımız sorunsuz bir şekilde çalışacaktır. Fakat güvenliği artırmak adına switche bağlı kullanıcıların birbirleriyle iletişimini yasaklayıp sadece VSG-1200 ile haberleşebilmelerini sağlamak faydalı olacaktır. Bu aşamada VSG-1200’ün switch üzerindeki hangi porta bağlandığı önemli. Daha sonradan bu port numarasına göre konfigürasyonları yapacağız. ES-2108 switchimizin default IP adresi 192.168.1.1 ve erişim için default kullanıcı adı şifre “admin” ve “1234”. Bilgisyarımıza 192.168.1.0/24 networkünden bir IP adresi verdikten ve switch ile arasında bir ethernet bağlantısı yaptıktan sonra bir web browser açarak adres kısmına http://192.168.1.1 yazıyoruz ve kullanıcı adı şifre bilgilerini yukarıda belirttiğimiz şekilde giriyoruz. Öncelikli olarak switch’in IP adresini değiştirip VSG -1200 ile aynı networkten bir adres verelim böylece daha sonra switche erişmek istediğimizde IP adresimizi değiştirmemize gerek kalmayacaktır. Switch’in IP adresini değiştirmek için “Basic Settings > IP Setup” menüsüne giriyoruz. Yukarıda görüldüğü gibi 10.59.1.2 gibi VSG-1200 ile aynı networkten bir adres veriyoruz. Ve “Apply” tuşuna basarak kaydediyoruz. Not: bu işlemi yaptığımızda switche olan bağlantımız kopacak IP adresimizi düzeltip http://10.59.1.2 adresine bağlanmamız gerekiyor. Switch Uygulamaları 196 Şimdi portlar arası iletişimi engellemek için “Port-Based VLAN” konfigürasyonu yapalım. Port-Based VLAN konfigürasyonu için “Basic Setting > Switch Setup” menüsüne girip “VLAN Type” kısmından “Port Based” seçeneğini işaretliyoruz. Sayfanın geri kalan kısmında herhangi bir ayarı değiştirmemize gerek yok. “Apply” tuşuna basarak değişiklikleri onaylıyoruz. Daha sonra “Advanced Application > VLAN” menüsüne giriyoruz. “Setting Wizard” kısmında “Port Isolation” seçeneğini seçip “Apply” tuşuna basıyoruz. Bu seçenek ethernet portları arasındaki iletişimin kesilmesini sağlayacaktır. Böylece müşteriler diğer müşterilerin bilgisayarlarına erişemiyecekler. Uplink portu yani VSG-1200’e giden port için bütün sütun ve satırdaki kutucukları işaretliyoruz. (Aşağıdaki örnekte 8 numarı port VSG-1200’e giden port olarak kullanılmıştır.) Bu işlem VSG-1200’ün switch üzerindeki diğer bütün portlara veri gönderebilmesini ve diğer portlardan veri alabilmesini sağlar. 197 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Evet switch tarafındaki konfigürasyonuda bitirmiş olduk. Şimdi yaptığımız ayarları kayıt edelim ve DSLAM’ların konfigürasyonuna geçelim. Switch Uygulamaları Swtich üzerinde yaptığımız ayarları kayıt etmek için ekranın sağ üst köşesindeki “Save” tuşuna basıyoruz. 198 199 ZyXEL Partner Eğitimleri – Netron Technology - 2008 IES-1248-51A Konfigürasyonu IES-1248-51A model DSLAM’ın default IP adresi 192.168.1.1 , cihaza erişim için default kullanıcı adı “admin” şifre ise “1234” şeklindedir. Cihazın yönetim arabirimine erişebilmek için bilgisayarımıza 192.168.1.0/24 networkünden bir IP adresi veriyoruz ve DSLAM üzerindeki uplink portuna ethernet bağlantısı gerçekleştiriyoruz. Bir web browser kullanarak http://192.168.1.1 adresine bağlanıyoruz ve yukarıda belirtilen kullanıcı adı ve şifre ile cihazın web arabirimine erişiyoruz. Öncelikli olarak DSLAM’ın IP adresini değiştirip VSG-1200 ile aynı networkten bir IP adresi verelim. Böylece daha sonradan cihazı switche bağladığımızda bilgisayarımızın IP adresini değiştirmeden cihaza erişebiliriz. IP adresini değiştirmek için “Basic Settings > IP Setup” menüsüne giriyoruz. Yukarıda gördüğümüz default IP bilgilerini 10.59.1.3 gibi 10.59.1.0/24 networkünden kullanılmayan bir IP adresi ile değiştiriyoruz. Default gateway olarak 10.59.1.1 yazıyoruz ve değişiklikleri uygulamak için “Apply IP setting” ve “Apply Gateway Setting” tuşlarına basıyoruz. Not: IP adresini değiştirdiğimiz için bağlantımız kopacaktır ve bilgisayarımızın IP adresini değiştirmeden yeni bir bağlantı gerçekleştiremeyeceğiz. Ayarları değiştirdikten sonra bilgisayarımıza 10.59.1.0/24 networkündne bir IP adresi verip http://10.59.1.3 adresine bağlantı yapmamız gerekiyor. Eski bağlantı askıda kalmış olabilir, böyle bir durumda yeni bağlantıya izin vermeyecektir. Telnet ile bağlanıp askıda kalan bağlantıyı koparabilirsiniz. Switch Uygulamaları 200 DSLAM üzerindeki kullanıcıların birbirleri arasındaki iletişimi engellemek için “Port Isolation” konfigürasyonu gerçekleştirmemiz gerekiyor. Bunun için “Basic Setting > Switch Setup” menüsünde “Port Isolation” kutusunu işaretliyoruz. Bu ayar sayesinde DSLAM üzerindeki kullanıcıların birbirleri arasındaki iletişimi engellemiş oluyoruz. Ortam güvenliğini artırmak için bu işlemi gerçekleştirmeliyiz. Şimdi DSL ayarlarını yapmak için “Basic Settings > xDSL Port Setup > VC Setup” menüsüne girelim. 201 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Öncelikli olarak 0/33 olan mevcut VC profilini silelim. Port 1 için en sağdaki kutucuğu işaretliyoruz ve “Delete” tuşuna basıyoruz. Bu işlemi yaptığımızda diğer portlardan da aynı profili silmek istermisiniz diye bir soru soracak. Burada “OK” tuşuna basıyoruz. Şimdi açılan ekranda bütün portları işaretliyerek 0/33 profilini bütün portlardan sileceğiz. Switch Uygulamaları 202 Artık VPI/VCI değeri 8/35 olan yeni profilimizi oluşturabiliriz. VPI: 8 , VCI: 35 Super Channel: işaretli olacak şekilde ayarları yapıp “Add” tuşuna basıyoruz. Yaptığımız bu işlem oluşturduğumuz yeni profili sadece 1 numaralı port için uygulamış oldu. Diğer portlarada aynı profili uygulamak için port 1’in satırında en sonda bulunan kutucuğu seçip aşağıdaki “Copy” tuşuna ve daha sonra “Paste” tuşuna basıyoruz. Bu işlemi yaptığımızda bize profili hangi portlara uygulamak istediğimizi soracak. Listeden bütün portları seçerek ilgili profili tüm portlar için uyguluyoruz. 203 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Şimdi ADSL bağlantıların çalışma hızını ayarlıyalım. “Basic Setting > xDSL Profile Setup” menüsüne giriyoruz. Portlarda uygulanmış olan default profil “DEFVAL” ve bu profil defaultta 2Mb/s download, 512kb/s upload şeklinde ayarlanmış. Toplam internet bağlantı hızımızı düşünecek olursak bu tek bir kullanıcı için yüksek bir değer. Yukarıda görüldüğü gibi “Max Rate” satırından upload ve download değerlerini belirlediğimiz yeni bir profil oluşturabiliriz. Tabiki “Name” kısmına bir isim yazıp bu profile bir isim vermemiz gerekiyor. Şimdi oluşturduğumuz bu profili tüm portlara uyguluyalım. “Basic Settings > xDSL Port Setup” menüsüne giriyoruz ve 1numaralı portun numarasının üzerine tıklıyoruz. Switch Uygulamaları 204 Açılan ekrandan oluşturduğumuz hız profilini uyguluyabiliriz. Aynı zamanda 8Mb’ten hızının üzerine çıkmayı düşünmüyorsak çalışma modu olarak “G.DMT” seçeneğini seçmemizde fayda var. Böylece ADSL2 desteği olmayan modemlerde sorun çıkmaz. “Auto” kalmasıda işimizi görecektir. Profili 1 numaralı porta uyguladıktan sonra kolay bir şekilde “Copy” & “Paste” yaparak diğer portlarada aynı profili uyguluyabiliriz. Copy & Paste yapmadan önce yukarıdan “Profile&Mode” (aşağıdaki şekilde kutu ile gösterilmiştir) seçeneğinin seçilmiş olması gerekiyor. Farklı bir IP adresi vermek dışında aynı işlemler diğer DSLAM’da da gerçekleştirilecektir. Artık tüm cihazlarımızın konfigürasyonları tamam. Geriye odalardaki ADSL modemlerin konfigürasyonunu yapmak kalıyor. ADSL modemlerin konfigürasyonlarında normal bir internet bağlantısına göre farklı olan tek bir ayarımız olacak. O da kullanılan “Encapsulation” kısmında normalde “PPPoE” seçeneğini işaretliyorduk. Onun yerine “ENET ENCAP” seçeneğini işaretliyeceğiz. 205 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Konfigürasyon Örnekleri Zyxel Adsl Router Temel Kurulumu Splitter bağlantısı ADSL hat aynı zamanda telefon görüşmesi için de kullanılacaksa splitter denen ve ürünle beraber gelen cihaz kullanılmalıdır. Splitter yukarıdaki şekilde görüldüğü gibi bağlanmalıdır. Hat spllitter’a girmeden önce kesinlikle paralel kullanılmamalıdır. Paralel kullanım olacaksa bu splitter’dan sonra olmalıdır. 1- Telekomdan gelen iki tel hat RJ 11 konnektor’un ortadaki iki ucuna , konnektor de modem’in arka tarafında ADSL yazan yere takılır. 2- Splitter ile bağlantıda telekomdan gelen hat splitter’in “line” kısmına takılır. “modem” yazan kısımdan ADSL modeme, “phone” yazan kısımdan da telefona bağlantı yapılır. ZyXEL ADSL router’ların telnet ile ulaşılan menulü arayüzü olduğu gibi, web browser programlarıyla ulaşılabilen web arayüzü de vardır. Ürünü web arayüzünden ayarlamak için ilk önce cihazın 2.3.4 nolu portlarından(Belli modellerde 1 nolu port DMZ portudur. Bu port server bağlamak ve bu server’u LAN’dan izole etmek amacıyla kullanılır.) birine bilgisayarınzı direkt olarak veya hub/switch vasıtasıyla bağlayınız. Cihazın LAN portunun IP adresi 192.168.1.1 (255.255.255.0) dır. Bu yüzden bizim IP adresimiz de 192.168.1.0’netwotkünden bir IP adresi olmalıdır. PC’nin IP adresini 192.168.1.1 olmamak şartıyla 192.168.1.x şeklinde vermeliyiz. Alt ağ maskesi Switch Uygulamaları 206 (Subnet Mask ) olarak 255.255.255.0 , ağ geçidi (Default Gateway) olarak da 192.168.1.1 vermeliyiz. DNS server IP adresi olarak TTnet’in DNS server’larından birinin IP adresi verilebilir. (212.156.4.1, 212.156.4.2, 212.156.4.6, 212.156.4.7) Veya bilgisayara IP adresini elle vermek yerine IP configurasyonunu otomatik olarak aldırabiliriz. Bu durumda bilgisayar 192.168.1.33 veya bu değerden daha büyük bir IP adresi alacaktır. DNS server IP adreslerini de otomatik al seçebilirsiniz veya yukarıda belirtilen DNS server IP adreslerini kullanabilirsiniz. IP adresini elle verdikten veya otomatik olarak aldıktan sonra web browser programını (Internet Explorer, Netscape..) çalıştırın. Adresi satırına 192.168.1.1 yazın. Kullanıcı adı soruluyorsa “Admin”, Password olarak “1234” girdikten sonra yeni şifre girmeniz için router sizi uyarır. Yeni şifrenizi 2 defa girip “Apply” butonuna basabilir veya “Ignore” deyip default şifreyle girişi yapabilirsiniz. (Not:Güvenlik açısından şifre değişikliği önemle tavsiye edilir. Bütün ZyXEL ürünlerinin şifresi “1234” olduğundan başka biri router’a bağlanıp ayarlarını değiştirebilir.) Şifreyi girdikten sonra karşımıza aşağıdakine benzer ekran gelecektir. (Ana ekran ürün modeline göre değişir.) 207 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Sol taraftaki Connection Setup linkine tıklayın. Mode “Routing” olarak seçilmelidir. Encapsulation PPPoE veya PPPoA, Multiplex LLC veya VC, VPI “8”, VCI “35”seçilmelidir.(Not: Bu değerler santralden santrale değişen değerlerdir.). “Next” tuşu ile bir sonraki ekrana geçilir. Eğer PPPoE seçildiyse Service Name alanı çıkar. Bu alan boş bırakılmalıdır. User Name olarak telekom tarafından size verilen kullanıcı adı sonuna @ttnet uzantısı yazılarak girilir. Password kısmına şifrenizi giriniz. IP Address kısmında size verilen IP adresi sabit(static) bile olsa Obtain an IP Address Automatically seçeneği seçilmelidir. Connection kısmında Connect on Demand seçilmelidir. Max Idle Timeout “0” dır ve öyle kalmalıdır. Bu durumda cihaz açılınca “Idle” konumda bekler, iç taraftan (LAN’dan) istek gelince hat “UP” olup karşı server’dan IP adresi alır. Eğer cihazın açıldıktan sonra hattın direkt “UP” olması isteniyorsa (talep gelmesine gerek yoktur.) “Nailed-Up Connection” seçili olmalıdır. Network Address Translation “SUA Only” seçilip “Next” tuşu ile bir sonraki ekrana geçilmelidir. Bir sonraki ekranda kontrol etmemiz için şimdiye kadar girilen bilgiler listelenir. Bizim girmediğimiz ama default ayarlarda var olan LAN Information kısmı da görülür. Burada görüldüğü gibi default ayarlarda cihazın LAN IP adresi 192.168.1.1, Subnet maskı 255.255.255.0, DHCP ON, Client IP Pool Starting Address (dağıtılacak IP adreslerinin başlangıcı) 192.168.1.33, Size of Client IP Pool (Dağıtılacak IP adresi sayısı) 32’dir. Bu değerler daha sonra değiştirilebilir. “Save Settings” butonuna basılarak ayarlar kaydedilir. Bir sonraki ekranda LAN connections kısmında Test your Ethernet Connection’un karşısında PASS yazısını görürüz. Bu LAN testini geçtiğini gösterir. Aşağıda bir takım testler daha vardır. “Start Diagnose” butonuna basınca cihaz testleri tamamlayabilmesi için sizden 20 sn beklemenizi isteyecek ve bu süre sonunda test sonuçlarını bildirecektir. Switch Uygulamaları 208 Test ADSL synchronization testi fiziksel olarak karşı tarafa bağlı olup olmadığınızı test eder. Test ADSL(ATM OAM) loopback testi geçmeyebilir. Bu karşı sistemin loopback ayarına bağlıdır. Test PPP/PPPoE server connection testi karşı server’a bağlantıyı test eder. Ping default gateway testi router’un default gateway’ine ping atıp atamadığını test eder. Bu dört testen en az 1 ve 3’numaralı testlerin geçmesi lazım ve bu testler geçildikten sonra artık router Internet’e bağlanmıştır Daha sonra arkadaki bilgisayarın da çıkabileceğini test edebilirsiniz. NAT Port Yönlendirme (Server Hosting) Kullanıcıların en çok yapmak istedikleri uygulamaların başında router arkasındaki bir bilgisayara web server, mail server kurmak ve bunu Internet’e açmak gelir. Veya içerideki bir bilgisayarın masaüstüne ulaşmak istenir. Web server için 80 nolu portu, mail server için 25 ve 110 nolu portu, uzak masaüstü bağlantısı için 3389 nolu portu arkadaki PC’ye yönlendirmek gerekir. 192.168.1.2 IP adresli bilgisayarda web server, 192.168.1.8 IP adresli bilgisayarda mail server, 192.168.1.15 IP adresli bilgisayarda da Terminal server (uzak masaüstü bağlantısı yapmak için) olduğunu farzedelim. Bunlar bizim kabul ettiğimiz örnek değerlerdir. Cihaza web arayüzünden bağlanın. Advanced Setup altındaki NAT linkine tıklayın. SUA Only seçeneğinin karşısındaki “Edit Details” linkine tıklayın. Açılan pencerede yönlendirmek istediğimiz port numaralarının başlangıç değerini Start Port No, bitiş değerini End Port No, portların yönlendirileceği lokal IP adresini IP Address yazan alana yazın. Başlangıç ve bitiş değerleri aynı ise her iki alana da aynı değeri yazın. Eğer bütün portları arkadaki tek bir PC’ye yönlendirmek veya 2.3.4... satırlarında yazan portların haricindeki portları tek bir PC’ye yönlendirmek istiyorsak 1. satırdaki IP adres kısmına bu PC’nin IP adresini yazın. “Save” butonuan basarak ayarları kaydedin. Bizim örneğimizin bu sayfaya yazılışı aşağıdaki gibidir. 209 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Paket seviyeli firewall olan modellerde (650R-31, 660R-61) fabrika ayarlarında var olan kısıtlamaları kaldırmak gerekir. Web arayüzünden cihaza bağlanın. Advanced Setup altındaki “Security” linkine tıklayın. Aşağıda görüldüğü üzere dışarıdan içeriye Telnet, FTP, TFTP, Web, SNMP trafiği engellenmektedir. Gerekli kısıtlamaları, yönlendirme yapmak istediğimiz portların onay kutusunu temizleyerek kaldırmalıyız. Switch Uygulamaları 210 Statefull Packet Inspection Firewall özelliği olan modellerde dolayı dışarıdan içeriye gelen isteklere izin verilmez. Yalnızca içeriden dışarıya yapılan isteklere cevap olarak gelen paketlere izin verilir. Buna Statefull özelliği denir. Dışarıdan içerideki server’lara ulaşmak için WAN to LAN yönünde uygun kuralları tanımlamak gerekir. Advanced Setup altındaki Firewall linkine tıklayın. Açılan penceredeki Rule Summary linkine tıklayın. Packet Direction bölümünden WAN to LAN seçin. Görüldüğü üzere bu yönde tanımlanmış bir kural yoktur ve “Default Policy: Block” görülür. Bu ayar, yazılan kural(lar)a uymayan paketlerin bloklanacağı anlamına gelir. Yeni bir kural eklemek için “Append” butonuna basın. İlk kural web server’a gelen isteklere izin verilmesi için oluşturulacaktır. Source Address List kısmında “Any” kalsın. Çünkü web server’a kimin erişeceği belli değildir. Destination Address List kısmındaki “Any” ‘e tıkladıktan sonra “Delete” butonuyla silinmelidir. Burada sadece 192.168.1.2 olmalıdır. Destination Address kısmında Address Type olarak “Single Address” seçildikten sonra “Start IP Address” kısımda 192.168.1.2 yazılır. “Add” butonuna basılarak bu adres Destination Address List bölümüne atılır. Aynı şekilde Selected Services kısmındaki Any(TCP) ve Any(UDP) değerleri silinmelidir(Remove butonuna basarak) Available Services kısmından HTTP(TCP:80) seçilip sağ tarafa atılmalıdır. Sayfanın en yukarısında Action for Matched Packets:Forward seçilidir. Bunu değiştirmiyoruz, çünkü bu şartlara uyan paketi forward etmek istiyoruz. Sayfanın altındaki “Apply” butonuna basarak kuralı onaylıyoruz. 211 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Firewall - Rule Summary ekranına döndüğümüzde 1 no’lu kuralın oluştuğunu görürüz. Mail server’a erişilmesi için benzer şekilde “Append” butonuna basarak 2 nolu kuralı oluşturuyoruz. Bu sefer IP adresi olarak 192.168.1.8 yazıyoruz. Available Services kısmından POP3(TCP:110) ve SMTP(TCP:25) seçip sağ tarada atıyoruz. Terminal Server’a erişilmesi için 3 nolu kuralı oluşturuyoruz. Bu kuralı oluştururken IP adresi olarak 192.168.1.15 yazıyoruz. Available Services kısmında 3389 portunun olmadığını görürüz. Available Services listesinde sık kullanılan(bilinen) servisler vardır. Edit Customized Services linkine tıklayarak yeni bir servis oluşturmamız gerekiyor. Firewall - Customized Services sayfasında 10 adet servis oluşturulabiliyor. 1 nolu linke basıyoruz. Service Name bölümüne hatırlatıcı olması açısından “Terminal Service” yazabiliriz. Service Type olarak TCP, UDP, TCP/UDP seçeneklerinden birini seçiyoruz. Bu seçim, servisin hangi protokolü kullandığına bağlıdır. Port Configuration bölümünde Single seçersek tek bir port numarası, Range seçersek aralık gireriz. “Apply” butonuna basarak yaptıklarımızı kaydederiz. “Back” butonuyla kural oluşturma sayfasına geri döneriz. Artık Available Services listesinde “Teminal Service” diye bir servis olduğunu görürüz.Sonradan oluşturulan servislerin isimlerinin sol üst kısmında “*” vardır. Sağ tarafta Any(TCP) ve Any(UDP) değerleri geri dönmüşse bunları kaldırın. Yeni oluşturduğumuz servisi sağ tarafa atın. “Apply” butonuna Switch Uygulamaları 212 basarak kuralı saklayın. Firewall - Rule Summary ekranında oluşturduğumuz 3 kuralın özet görüntüsü aşağıdaki gibi olmalıdır. Kural tanımlama bitmiştir. Diğer kuralları bu şekilde oluşturabiliriz. Sayfanın en üst solundaki “Main Menu” linkine tıklayıp diğer ayarlara geçebiliriz. 213 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ZyXEL P-662HW Üzerinde IPSec VPN Tünel Kurulumu (IPSec) Internet Protocol Security 3 ana VPN protokolünden biridir. 652/660/662 serisi Zyxel ADSL routerlar ve Zywall serileri bu protokolü desteklerler. Bu özelliğe sahip cihazlara bu dokümanda “Secure Gateway” dendiği de olacaktır. VPN tünel iki secure gateway arasında veya “IPSec Client Software” yüklü bir PC ile Secure Gateway arasında kurulabilir. Burada birinci seçenek yani iki Secure Gateway arasında nasıl VPN tünel kurulacağı anlatılacaktır. Örnek secure gateway olarak Prestige 652 HW-31 seçilmiştir. VPN tünel Internet üzerinden veya var olan Intranet üzerinden kurulur. Olaya dışarıdan bakıldığında kiralık hat kullanarak LAN to LAN bağlantı yapılmış gibi görülür. A LAN’ındaki herhangi bir PC B LAN’ındaki herhangi bir PC’ye erişebilir. PC 1 192.168.1.33 Prestige A Prestige B LAN: 192.168.1.1 LAN: 192.168.2.1 WAN: WAN: 202.132.154.1 168.10.10.66 PC 2 192.168.2.33 Biz yukarıdaki IP adreslerini kullanacağız. İki secure gataway kullanarak tünel oluşturulurken iki router’dan en az birinin WAN IP adresi sabit olmalıdır. Biri statik diğeri dinamik olursa bu durumda bağlantıyı dinamik IP adresine sahip taraf başlatabilir. Önemli Not: 652HW-31 ve 662HW-61 modellerinde DMZ portu bulunmaktadır. DMZ portunun default IP adresi 192.168.2.1’dir. Yukarıdaki uygulamada Prestige A’nın LAN IP adresi 192.168.1.1, Prestige B’nin LAN port IP adresi 192.168.2.1 seçilmiştir. Eğer IP adresleri bu şekilde seçilirse DMZ port IP adresi farklı bir değere alınmalıdır. (172.17.50.1 vs..) Aksi taktirde, bizim örneğimiz için konuşacak olursak, A tarafındaki bir PC 192.168.2.1’e ping attığında Prestige B’ye değil de kendi tarafındaki (Prestige A) router’un DMZ portuna yönlendirilir. Bu sebepten tünel kurulmaz. Switch Uygulamaları 214 A router’una, LAN IP adresi Internet Explorer satırına yazılarak ulaşılır. Ana menüden “Advanced Setup” kısmındaki VPN linkine tıklanır.Burada “Setup”, daha sonra boş olan bir VPN numarasına tıklanır. Kuralı etkinleştirmek için “Active” kutusu işaretlenir. “Name” kısmına kuralın ismi yazılır. IPSec Key Mode “IKE”, Negotiation Mode “Main”, Encapsulation Mode “Tunnel” seçilir. Local kısmında Local Address Type “Subnet” seçilir. IP Address Start bölümüne network numarası olan 192.168.1.0 yazılır. End / Subnet Mask alanına da subnet mask olarak 255.255.255.0 girilir. Remote kısmında da karşı tarafın adres bilgileri girilir. Yani, IP Address Start bölümüne karşı tarafın network numarası olan 192.168.2.0 yazılır. End / Subnet Mask alanına da subnet mask olarak 255.255.255.0 girilir. Address Information bölümünde Local ID Type olarak IP seçiyoruz. Bu durumda bu taraftaki router karşı tarafa kendini IP adresiyle tanıtacaktır. Content kısmını 0.0.0.0 olarak yazıyoruz. Bu durumda router kendini karşı tarafa almış olduğu WAN IP adresiyle tanıtır. My IP Address kısmına IP adresimiz sabit ise onu, değilse 0.0.0.0 yazmalıyız. Peer ID Type yine IP seçilir. Content kısmına 0.0.0.0 yazılır. Secure Gateway Address bölümüne karşı router’un WAN IP adresi yazılır. Bu adres sabit ise adresin kendisi, değişken ise 0.0.0.0 yazılır. Daha önce de dendiği gibi en az bir tarafın IP adresi sabit olmalıdır. Security Protocol bölümünde VPN Protocol ESP, Encryption Algorithm DES, Authentication Algorithm MD5 seçilir. Encryption Algorithm güvenliği daha da artırmak amacıyla 3DES seçilebilir. Pre-Shared Key olarak şifrelenecek key yazılır. Bu key her iki tarafta aynı olmalıdır. 215 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Prestige A’da girilen ayarların aynısı (duruma göre simetriği) Prestige B’de de girildikten sonra A tarafındaki bir PC’den B tarafındaki bir PC’ye istek yapılmasıyla (veya tam tersi) VPN tünel kurulur. Switch Uygulamaları 216 Prestige 2002’nin SIP server’a kayıt edilmesi Bu örnekte P 2002’nin SIP server’a kayıt edilerek nasıl kullanıldığı anlatılmaktadır. Aşağıdaki şekilden daha iyi anlaşıldığı gibi P2002 gibi VoIP cihazlar ITSP’nin (Internet Telephony Service Provider) server’una register olarak birbirlerini veya ITSP’nin gateway’i üzerinden diğer telefonları (PSTN, GSM vs..) arayabilmektedir. Şekilde NAT diye isimlendirilen cihaz Internet erişimini sağlayan ve NAT yapan cihazdır. (Örneğin ADSL router..) P 2002’yi router’un arkasına direkt takabilir veya aradaki swtich’e bağlayabilirsiniz. Switch’ten gelen kabloyu arka paneldeki LAN portuna takın. Eğer PC’ye gelen network kablosunu 2002’nin LAN portuna bağladıysanız PC için ayrı bir kablo çekmeye gerek yoktur. 2002 üzerindeki PC portunu da PC’ye bağlayarak 2. bir kablo çekme zahmetinden kurtulmuş olursunuz. P 2002 default ayarlarda DHCP client durumundadır. 192.168.5.1 diye management amaçlı bir IP adresi vardır. Cihaza erişmek için PC’nize 192.168.5.0 subnetinden bir IP verin. Internet Explorer’a 192.168.5.1 yazıp cihaza erişin. Defalut şifre “1234” tür. Cihaz şifreyi değiştirmeniz yönünde sizi uyarır. Yeni şifrenizi 2 defa girip Apply butonuna bastıktan sonra tekrar şifre sorma ekranı gelir. Yeni şifrenizi girip cihazın web arayüzüne ulaşın. Sol taraftaki menüde ETHERNET bölümünü seçin. Aşağıdaki ekran karşınıza gelecektir. 217 ZyXEL Partner Eğitimleri – Netron Technology - 2008 P 2002’ye çalışacağı networkten sabit bir IP adresi vermek daha uygun bir yoldur. Default Gateway kısmına P 2002’nin Internet’e çıkarken kullanacağı ağ geçidini yazın. Domain name çözümlemesi gereken durumlar olacağından DNS server kısımlarına geçerli bir DNS IP adresi girip Apply butonuna basarak değişiklikleri kaydedin. Sol menüden VoIP linkine tıklayın. Ekranın sağ üstünde hangi hesabın bilgilerini gireceğiniz bir kutu çıkar. 2002’ye 2 adet SIP hesabı girilebilir. Default olarak SIP 1 gelir ve Active kutucuğu aşağıda görüleceği üzere seçilidir. Biz bu örnekte http://account.freeworlddialup.com/index_new.php?section_id=94 adresinden ücretsiz olarak alınan SIP hesabını kullanıyoruz. Diğer servis sağlayıcılardan alınan SIP hesapları da benzer şekilde 2002’ye girilir. Switch Uygulamaları 218 SIP Number kısmına SIP server’da sizin için açılmış numarayı girin. Aksi söylenmedikçe port numarası yazan yerlerin 5060 kalması gereklidir. Diğer 3 alana SIP server’un IP adresi veya domain name’i yazılır. Authentication kısmına kullanıcı adı ve şifre girilir. Kullanıcı adı genellikle SIP number ile aynıdır. Bu numara dışarıdan arandığında hangi telefon portunun çalmasını (Phone 1 ve/veya Phone 2) istiyorsanız belirtin. İleri düzey aramalar için Settings butonuna basın. RTP Port Range kısmının aynen kalmasında mahzur yoktur. Voice Compression kısmında analog işaret olan sesin digital işaret olan IP paketlerine çevrilirken hangi codec’in kullanılacağını belirtin. Cihaz 2 çeşit codec destekler. G.711 64 Kbps, G.729 8 Kbps band genişliği kullanır. Codec seçerken hattınızın upload hızını göz önünde bulundurun. 1024/256 Kbps ve üzeri hatlarda G.711 kullanılabilir. Band genişliğinden tasarruf etmek istiyorsanız G.729 seçilmelidir. P 2002’nin Internet’e çıkarken kullandığı gateway’in SIP ALG (Application Layer Gateway) desteği yoksa Use NAT kısmını enable edin. IP Address kısmına 2002’nin Internet’e çıktığı IP adresini yazın. Port yine 5060 kalmalıdır. Daha sonra 5060 portu 2002’nin Internet’e çıktığı router üzerinden P 2002’ye yönlendirilmelidir. Ayrıca RTP port range kısmındaki port aralığı da SIP ALG (Application Layer Gateway) desteği olmayan router üzerinde P 2002’ye yönlendirilmelidir. (Router’un kullanıcı kılavuzuna bakın!) Değişiklikleri sakladıktan sonra 2002’nin SIP server’a register olup olmadığını 219 ZyXEL Partner Eğitimleri – Netron Technology - 2008 sol paneldeki “MAINTENANCE” linkine tıklayarak görebilirsiniz. Register olmuş SIP hesaplarının durumu aşağıdaki gibidir. Ayrıca ürünün register olup olmadığını PWR/VoIP ledinin durumuna bakarak da öğrenebilirsiniz. Ürün register olduğunda bu led düz turuncu yanar. Telefon portları ile ilgili ayarlar için sol menüdeki “Phone” menüsünü seçin. Ekranın sağ üstünde “Phone Port Settings” kısmında ayar yapmak istediğiniz telefon portunu seçin. Speaking Volume ve Listening Volume bölümlerinde sırasıyla giden ve gelen ses seviyesi ayarı yapılır. “-1” en düşük, “1” en yüksektir. Bu porta takılı olan telefonla arama yaparken hangi SIP hesab(ları)ının kullanılması isteniyorsa “Outgoing Call use” bölümünden seçilir. Kendi sesinizin yankılanmasını istemiyorsanız “G.168 Active kutusu işaretli olmalıdır. Konuşmaya ara verdiğinizde daha az band genişliği kullanılsın istiyorsanız “VAD Support” kutusu seçilmelidir. Switch Uygulamaları 220 Arama yaparken numaraları tuşladıktan sonra P 2002’nin aramayı başlatmadan önce kaç saniye beklemesini istiyorsanız “Dialing Interval” bölümüne bu değeri girin. Değişiklikleri Apply butonuna basarak saklayın. Telefon portlarına takılı olan telefonla artık arama yapabilirsiniz. 221 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Prestige 2002’lerin SIP server olmadan birbirlerini araması Bu dokümanda 2 adet P 2002’nin birbirini SIP server olmadan araması için P 2002’(L)de ve bağlı olduğu ADSL router’da yapılması gereken ayarlar anlatılmaktadır. Aşağıdaki şekilden daha iyi anlaşıldığı gibi 2 adet P2002 arada bir SIP server olmadan birbirlerini “peer to peer olarak” arayabilmektedir. Bu örnekte router olarak 662HW kullanılmıştır. Not: Dikkat edilirse şube 1 ve şube 2’deki P 2002 ve 662’nin IP adresi aynıdır. Bu IP adresleri aynı da olabilir farklı da. Biz şube 1’deki P 2002’nin ve 662’nin ayarlarını anlatacağız. Şube 2’deki P 2002 ve 662’nin ayarları da mantık olarak aynıdır. Telefon makinası P 2002 (1) P 2002 (2) IP: 192.168.1.5/24 Gateway: 192.168.1.1 IP: 192.168.1.5/24 Gateway: 192.168.1.1 LAN IP: 192.168.1.1/24 LAN IP: 192.168.1.1/24 Şube2: 662HW-61 Şube1: 662HW-61 WAN IP: 212.156.174.154 WAN IP: 81.215.197.208 Internet P 2002’nin ayarlanması P 2002’yi router’un arkasına direkt takabilir veya aradaki swtich’e bağlayabilirsiniz. Switch’ten gelen kabloyu arka paneldeki LAN portuna takın. Eğer PC’ye gelen network kablosunu 2002’nin LAN portuna bağladıysanız PC için ayrı bir kablo çekmeye gerek yoktur. 2002 üzerindeki PC portunu da PC’ye bağlayarak 2. bir kablo çekme zahmetinden kurtulmuş olursunuz. P 2002 default ayarlarda DHCP client durumundadır. 192.168.5.1 olan management amaçlı bir IP adresi vardır. Cihaza erişmek için PC’nize 192.168.5.0 subnetinden bir IP verin. Internet Explorer’a 192.168.5.1 yazıp cihaza erişin. Defalut şifre “1234” tür. Cihaz şifreyi değiştirmeniz yönünde sizi uyarır. Yeni şifrenizi 2 defa girip “Apply” Switch Uygulamaları 222 butonuna bastıktan sonra tekrar şifre sorma ekranı gelir. Yeni şifrenizi girip cihazın web arayüzüne ulaşın. Sol taraftaki menüde “ETHERNET” bölümünü seçin. Aşağıdaki ekran karşınıza gelecektir. P 2002’ye IP adresi olarak topolojide görüldüğü üzere 192.168.1.5 verdik. DNS server IP adresi yazmaya bu uygulamada gerek yoktur. “Apply” butonuna bastıktan sonra bağlantı kesilecektir.2002’ye LAN portunun IP adresiyle bağlanmak için PC’mizin IP adresini de 192.168.1.X subnetine çekmeliyiz. Cihaza tekrar bağlanın. Sıra geldi SIP ayarlarını yapmaya. Şube 1’deki P 2002’ye 101 ve 102, şube 2’deki P 2002’ye 201 ve 202 vereceğiz. Tabii siz dilediğiniz SIP no’yu vermekte serbestsiniz. SIP hesaplarını ayarlamak için sol menüdeki “VOIP” linkine tıklayın. Gelecek ekranın sağ üstünde “SIP Account” bölümünde “SIP1” seçili olduğundan emin olun. SIP Number bölümüne 101 yazıyoruz. Karşı taraftan 101 arandığında 2002’nin hangi portuna bağlı olan telefonun çalmasını istiyorsak “Incoming Call apply to” alanında ilgili kutucuğu seçiyoruz. Düzenli olsun diye 101 arandığında 1. porta takılı olan telefon, 102 arandığında 2. porta takılı olan telefon çalsın istiyoruz. Bu saydafa yapılcak ayarlar bu kadardır. Diğer alanları değiştirmeyin, aynen kalsınlar. 223 ZyXEL Partner Eğitimleri – Netron Technology - 2008 İleri düzey aramalar için Settings butonuna basın. RTP Port Range kısmının aynen kalmasında mahzur yoktur. Voice Compression kısmında analog işaret olan sesin digital işaret olan IP paketlerine çevrilirken hangi codec’in kullanılacağını belirtin. Cihaz 2 çeşit codec destekler. G.711 64 Kbps, G.729 8 Kbps band genişliği kullanır. Codec seçerken hattınızın upload hızını göz önünde bulundurun. 1024/256 Kbps ve üzeri hatlarda G.711 kullanılabilir. Band genişliğinden tasarruf etmek istiyorsanız G.729 seçilmelidir. “Use NAT” bölümünde “Server Address” alanına 2002’nin Internet’e çıktığı 662’nin WAN IP adresini yazıp değişikliklerin saklanması için “Apply” butonuna basın. SIP 2’nin ayarlanması da bu şekildedir.Farklı olarak “Active” kutusu işaretli değildir, burayı işaretleyin. SIP Number olarak 102 girin, Incoming Call apply to alanında “Phone2”’yi seçin. Settings butonuna basarak SIP 1’de yaptığımız ayarların aynısını yapın. Switch Uygulamaları 224 Karşı tarafı aramak için karşının SIP no’larını buradaki 2002’ye girmek gerekiyor. Bunun için sol panelden “PHONEBOOK” linkine tıklayın. “Speed Dial” olarak 1. kaydı seçin. SIP Number alanına arayacağımız numarayı, “Name” alanına tanımlayıcı bir isim, örneğin “sube2” yazın.(Türkçe karakter kullanmayın) Type olarak “Non-Proxy (Use IP or URL)” seçin ve “Add” butonuna basarak kaydı ekleyin. “Speed Dial” olarak 2. kaydı seçerek aynı şekilde gerekli alanları dooldurun. Bizim örneğimizin tamamlanmış hali aşağıdaki gibidir. 225 ZyXEL Partner Eğitimleri – Netron Technology - 2008 Telefon portları ile ilgili ayarlar için sol menüdeki “Phone” menüsünü seçin. Ekranın sağ üstünde “Phone Port Settings” kısmında ayar yapmak istediğiniz telefon portunu seçin. Speaking Volume ve Listening Volume bölümlerinde sırasıyla giden ve gelen ses seviyesi ayarı yapılır. “-1” en düşük, “1” en yüksektir. Port 1’deki telefonu kaldırınca SIP 1’den arama yapmak için “Outgoing Call use” bölümünde SIP 1 seçilir. Kendi sesinizin yankılanmasını istemiyorsanız “G.168 Active kutusu işaretli olmalıdır. 2002’nin firmware versiyonu V3.60(MD.2)C0 ise “VAD Support” işaretlidir. Bu kutunun üzerindeki seçimi kaldırın. Aynı ayarları “Phone Port Settings” kutusundan “Phone2” seçerek 2 nolu telefon portu için de yapın. Arama yaparken numaraları tuşladıktan sonra P 2002’nin aramayı başlatmadan önce kaç saniye beklemesini istiyorsanız “Dialing Interval” bölümüne bu değeri girin. Değişiklikleri Apply butonuna basarak saklayın. Switch Uygulamaları 226 662HW’nin konfigurasyonu 662 üzerinde yapılacak ayarlar aşağıdaki gibidir 1-) NAT bölümünden 5060 ve 50000-65535 aralığının P 2002’ye yönlendirilmesi. 5060 portu sinyalleşme, 50000-65535 aralığı ise ses paketlerinin gidiş-gelişinde kullanılır. Hatırlanacağı üzere P 2002 ayarlarında RTP Port Range default olarak bu değerlere ayarlıydı. 662’ye web arayüzünden bağlanın, Advanced Setup altındaki NAT linkine tıklayın. “SUA Only” yanındaki “Edit Details” linkine tıklayın. Aşağıdaki şekildeki gibi bahsettiğimiz portları P 2002’ye yönlendirin. 2-) WAN to LAN önünde bu portlara gelen isteklere izin veren bir firewall kuralı oluşturun. 227 ZyXEL Partner Eğitimleri – Netron Technology - 2008 ftp://ftp.zyxel.com.tr/TEKNIK_BULTENLER/ZyXEL_Prestige/ “ZyXEL_ADSL_routerlarda_port_yonlendirmesi” isimli dosyada anlatılmaktadır. adresindeki bu ayarlar 3-) 662HW’de SIP ALG’yi disable edin. SIP ALG SIP paketlerini tanıyan ve bu paketler üzerinde değişiklik yapan bir “controller” dur. P 2002’de “Use NAT” özelliğini kullandığımızdan dolayı SIP ALG’yi kapatmalıyız. Bunun için 662HW’ye telnet ile bağlanın, Menu 24.8’e gidin. “ip nat service sip active” yazıp enter’a bastığınızda “SIP ALG Enable” olduğunu görürsünüz. Bu özelliği kapatmak için “ip nat service sip active 0” komutunu girip enter’a bastıktan sonra “SIP ALG Disable” yazısını görmeniz gerekir. Şube 2’deki 2002 ve 662’nin ayarlarını da benzer şekilde yaptıktan sonra 2 nokta birbirini arayabilir. Şube 1’den Şube 2’yi aramak için phone 1’e takılı olan telefonu kaldırın. 2002 üzerindeki firmware versiyonu V3.60(MD.3) veya daha yukarı ise çevir sesi yerine kesik kesik bir uyarı sesi duyarsınız. Bu SIP server’a kayıt olmadığınızı gösterir. Bizim uygulamamızda SIP server’a kaydolma yok zaten. Bu kesik kesik olan sesi dikkate almayıp Şube 2’nin 201 numarasını aramak için #01, 202 numarasını aramak içn #02 tuşlayın. Karşı taraf telefonu açtığında konuşabilmeniz gerekiyor.