Sercanca Çözümler..

Network – Temel Kurulum Bilgileri

01.12.2016
1.885
Network – Temel Kurulum Bilgileri

Günümüzde hemen hemen her ortamda network örneklerini görebilirsiniz. Networkü tanımlamak için verilebilecek en güzel örnek evinizde kullandığınız kablosuz ağ olabilir. Eğer bir kablosuz ağda birden fazla cihaz bağlı ise farkında olmadan bir network kurmuşsunuz demektir. Sanırım temel network mantığını anlamış olmalısınız.

Bu yazıda ilk kurulum aşamasında neler yapılacağı hangi cihazların ve donanımların tercih edilmesi gerektiği konularında bilgi vermeyi hedefliyorum. Verilecek basit bilgiler network alt yapısını kurgularken size referans olacaktır.

Daha iyi anlaşılması için bir senaryo örneği verip senaryo üzerinden gidersek daha iyi olacağını düşünüyorum.

Senaryo : 32Mbit VDSL Bandwidth genişliği olan bir işletmede, 12 Adet IP kamera, 2 adet kenar switch 20 adet kablolu bağlantıya sahip PC, 5 adet IP destekli yazıcı, 2 Adet AP, 3 adet sunucu bulunmaktadır.

Artık senaryomuz hazır olduğuna göre adım adım başlayabiliriz.

Topolojinin Belirlenmesi

Öncelikle ilk yapılacak işlem network topolojisini oluşturmak olacaktır. Senaryoya göre topoloji haritası çıkartmak işinizi kolaylaştıracaktır.

topoloji

Topoloji haritasına göre gidersek dikkat etti iseniz yıldız topolojiyi benimsenmiştir. Genellikle yıldız kullanmak avantajlıdır. Tavsiyem özel bir amacınız yoksa yıldız topolojiyi kullanmanız ve uygulamanızdır.

Merkeze den kenar switchlere birer yada yedekli olması için ikişer adet bağlantı çekilir ve kullanılır. Switchin özelliğine göre ikisini aynı anda kullanabileceğiniz gibi birini yedek amaçlıda kullanabilirsiniz.

Kablo Seçimi

Kablo seçimi önemli bir faktördür. Eğer ucuza kaçıp bakır oranı düşük kablo seçilirse çok çok sorunlar yaşarsınız. Ama mutlaka %100 bakır kullanmaya özen gösterin.

Hat boyu 90 mt den aşağıda olan tüm data hatlarında CAT6 kullanın. CAT5 kullanmamaya özen gösterin. Merkez Kabinden kenar kabinlere olan mesafe 90 mt üzerinde ise 550mt ye kadar multimod fiber optik, daha uzun metrajlar için singlemod fiber optik kabloları tercih edin. Eğer 90 mt den kısa ise CAT6 kullanabilirsiniz.

Hız olarak hedefiniz 1.25G üzeri ise multimod OM3 Fiber optik kablo kullanın. Ama metre olarak 550 mt limiti unutmayın.

CAT6 kullandığınızda karşınıza 1 den fazla seçenek çıkmaktadır. Eğer Enerji hatlarından minimum etkilenmesini istiyorsanız FTP,SFTP tipi kabloları tercih edin. Ama ortam müsait ise UDP tercih edebilirsiniz. Genellikle yanmaz kablo kullanmaya özen gösterin.

cat6

Optic fiber cable

Sonlandırma İşlemi

Bakır yada fiber optik kablo kullansanız bile karşınıza mutlaka sonlandırma işlemi çıkacaktır. Bazı yerlerde maliyeti düşük olması için direkt RJ45 uç basıp switch portlarına takılmaktadır. Bu şekil sonlandırma olmaz. Baştan savma ve kalitesiz işçilik olur.

sonlandirma-hata

Sonlandırma işlemi düzgün bir patch panel kullanılarak yapılmalı ve kablolar düzgün şekilde karşılıklı etiketlendirilmelidir. Patch panel türü kullanılan Cat6 kablonun türüne göre seçilmelidir.

patchpanel4

Fiber optik sonlandırmalarda da sonlandırma işlemi fiber optik patch panelde yapılmalıdır.

14-patch-panel

Tüm sonlandırmalarda mutlaka patch cord kablo ile ilgili switche aktarılmalıdır.

patch-kablolar

Piyasada pek çok uzunlukta patch paneller vardır. Genelde 25cm/50cm/100cm gibi değişik uzunluklar olup en çok 1 metre olanı tercih edilir. Fakat kabin içerisinde toplamak zor olduğu için uygun ise 25 yada 50 cm kullanabilirsiniz.

panel

Network Kabin Seçimi

Network cihazları kabinetler içerisinde muhafaza edilirler. Hem düzenlilik hemde dış etmenlerden korunması için en iyi çözümdür. Piyasada bir çok kabinet üreten firma ve ürün çeşitliliği vardır.

kabinetler

Kabinet seçerken kabin içerisine koyulacak olan cihazların yükseklilikleri hesaplanmalı ve montaj tipleri belirlenmelidir. Montaj tipinden kasıt kabinetin duvaramı asılacağı yoksa tekerlikli yada sabit bir zemin üzerinde mi tutulacağıdır.

Kabinlerde yükseklik hesaplamada Unit(u) birimi kullanılır. Her Unit değeri 3 deliğe karşılık gelmektedir. Bir switch 1u iken 48 li bir patch panel 2u yüksekliğe sahiptir. Kullanılacak ürünlerde farklı olabilir. Mutlaka göz önünde bulundurun.

İhtiyaca göre organizer,tekerlek seti,raf, grup priz gibi aksesuarlar extra temin edilebilir.

kabinet_aksesuarlari-592x308

Switch Seçimi ve Konfigürasyonu

Networkün temel taşlarından birisi tartışmasız switchlerdir. Switchlerin seçilmesinde topolojinin, ihtiyaçların ve tabiki maddiyatın rolü büyüktür.

Piyasada 2 ana tür switch bulabilirsiniz. Yönetilemeyen ve yönetilebilen.

Yönetilemeyen switchler ucuzdur ama bir o kadarda verimsizlerdir. Her zaman bir projede müşteriye bunu anlatmak zor olmuştur. Genelde maddiyat konuştuğu için arasındaki teknoloji farkını pek anlatmak istemezler. Ama düzgün bir iş yapılması isteniyorsa mutlaka minimum L2 switch seçimi yapılmalıdır. Kesinlikle yönetilemez yani aptal switchler tercih edilmemelidir. Unutmayın ki en kötü yönetilebilen switch en iyi aptal switchten daha iyidir.

2-8 PC lik networklerde yönetilebilen switchlerin avantajları pek görülemez. Bu yüzden ufak yerlerde aptal switch kullanabilirsiniz. Ama aptal switch kullanmanızın sonucu olarak hem networkü yönetemez hemde yavaşlıklar hissedebilirsiniz.

Network - En cok Kullanilan Aktif Cihazlar Akilli Switch

Switch seçiminde dikkate alınacak hususlar aşağıdaki gibidir;

  • İhtayaca uygun port sayısı
  • CPU ve RAM değerleri
  • Portların Poe oluşu veya olmayışı
  • Toplam Bant Genişliği
  • Throughput(Mpps)
  • Switching Capacity (Gbps)

Bu ihtiyaçlar dışında farklı ihtiyaçlarda olabilir. Gerekirse bunları da göz önünde bulundurmak gereklidir.

Topoloji büyüdükçe yönetmek zor olacağı için VLAN lar kullanın. Bu sayede hem broadcast trafiği VLAN lar arası geçmez hemde yönetim hızlı ve pratik olacaktır.

Seçilecek Switch için VLAN desteği olmasına özen gösterin. Tanımlanan VLANları ilgili portlara atayıp sanal networkler kurulabilir.

STP protokolü olmasına özen gösterin. Düzgün ayar yapıldığında networkte olacak LOOP ların önüne geçmiş olursunuz. önemli bir ayrıntıdır.

Storm Control özelliğini desteklemesi önemlidir. Broadcast, unicast, multicast trafiklerini limitlememize olanak sağlar.

Dhcp Snooping özelliğini mutlaka yapılandırın. Bu sayede ağınızda yabancı DHCP server varsa DHCP anonsları switch tarafından engellenir.

Port hızlarını 1G seçin. 100 Mbit olan modelleri tercih etmeyin. Günümüzde hemen hemen tüm cihazlar 1G desteği vardır. Eğer sistemde 10G kullanılacak ise SFP+ portu olmasına özen gösterin.

Kenar switchlerin L2 olması yeterlidir. Eğer merkeze Omurga switch seçilecek ise L3 olmasına özen gösterin. Omurga switchler kapasite ve donanım olarak daha üstün cihazlardır ve tüm trafik omurga üzerinde yönetilebilir. Gerekli Route işlemler, VLAN tanımları yapılabilir.

Büyük networklerde omurga ve kenar switchler ayrı olarak seçilir ve kullanılır. Ufak networklerde omurga switch seçilmez ise kenar switchler ile aynı özellikte yada bir tık üzerinde cihazlar seçmek uygundur.

Switch seçerken bilindik markalar (Dell,HP,Extreme,Cisco,Dlink…) olmasına özen gösterin. Bilinmeyen cihazlarda destek almanız ve yönetmeniz zor olacaktır.

Temel beklenen özellikler yukarıdaki gibi olup farklı bir çok özellikte mevcuttur. İhtiyaca göre ürünün datasheetinden bakılabilir.

Server Seçimi

Server seçimi beklentilere göre yapılır. İşletmenin varsa mevcut data boyutundan yola çıkarak büyümesi hesaplanır ve güncel özelliklerde bir sunucu seçilir. RAM ve CPU miktarları yaptırılacak işleme göre seçilir. Günümüzde artık sanallaştırma standart hale gelmektedir. VMware, Hyper-V sıkça kullanılan server sanallaştırmalarıdır. Server sanallaştırılacak ise içerisine kurulacak sanal makinelerin özelliklerini karşılayabilecek donanım tercih edin.

Burada da tavsiyem bilindik ve kendini kanıtlamış server markalarından ürün seçmeniz. (DELL,HP..)

Konumuz server olmadığı için çok fazla detaya girmeyeceğim. Bir çok özellikte ve tipte server mevcut. Kesinlikle öncelikle hedeflenen amaçları çıkartın ve sunucuyu ona göre seçin.

server

Kablosuz Cihaz Seçimi ve Konfigürasyonu

Artık her cihazın kablosuz bağlantı özelliği bulunmaktadır. Buna paralel olarak kablosuz verici cihazlarda çeşitliliğe gidilmiş ve farklı tipte farklı özelliklerde cihazlar piyasaya sürülmüştür. Dış mekan, PTP, MTP, AP, iç mekan gibi tipler bulunmaktadır.

Genelde 2.4 Ghz kullanılır ve yeni cihazlarda 5 Ghz desteğide verilmektedir. ileriye dönük olması için seçeceğiniz Access Point için 5 Ghz desteğinin bulunması sizin yararınıza olacaktır.

Eğer 2.4 Ghz kullanılacak ise cihazların kanal ayarlarının birbirleri ile çakışmayacak (1,6,11 – 2,7,12 – 3,8,13 – 4,9 – 5,10) şekilde ayarlamanız gerekmektedir. 5 Ghz için kanal ayarını auto olarak bırakabilirsiniz.

Temel olarak band genişliğnin fazla olması, çoklu SSID, VLAN, desteğinin olması yeterlidir. Birde bağlantı kapasitesi yüksek olması gereklidir. Mesela piyasada bulunan bir çok ucuz AP lere 10 adet PC bağlanınca kendini şaşırıyor.

Yeni bir çok üründe merkezi kontrol yazılımı olması işinizi kolaylaştırır. Örneğin 10 adet AP olan bir işletmede hepsine erişip tek tek ayar yapmak zaman ve iş kaybıdır.

Eğer access pointlerin DHCP desteği varsa ve açık ise mutlaka kapatın. Aksi halde networkünüzde birden fazla DHCP server çalışır ve özel bir durum yoksa access pointten IP alan cihazlar internete çıkamazlar.

wifi

Firewall Seçimi ve Konfigürasyonu

İnternetten gelen saldırıları engellemenin en temel yolu firewall veya UTM kullanmaktadır. Firewall seçimi yaparken mutlaka daha önce kullanan insanların tecrübelerinden , internetteki yorumlardan bilgi toplayın. Eğer güvendiğiniz ve tecrübe ettiğiniz ürün varsa onunda üzerinden gidebilirsiniz.

Temelde aranan özellikler aşağıdaki gibidir.

  • IPS/IDS koruması
  • Web Filtre
  • Uygulama Kontrolü
  • Antivirüs Koruması
  • Email Koruması
  • Port Bazlı Koruma
  • Antispam

Saydığım özellikler en temel özellikler olup bir çok ilave özelliği de barındırması ve sorunlarda çözüm sunması önemlidir. Cihazın bilinirliği ve desteğinin olması çok büyük etkendir.

Piyasada bir çok güvenlik duvarı var ama en çok kullanılan çeşitli cihazlar mevcut. Sophos SG ve XG, Cyberoam, Palo alto networks, Fortinet, WatchGuard markaların UTM ürünleri en çok bilinen ve destek alabileceğiniz ürünlerdir.

Seçimi yaparken UTM ve Firewall olarak değerlendirmeniz gerekmektedir. Eğer yukarıda yazdığım özellikleri ve daha fazlasını düşünüyorsanız UTM seçimi yapın. Ama daha basit işlemler için kullanacaksınız Firewall kullanabilirsiniz. Port bazlı izin vermek,Kaynağa ve hedefe göre IP bazlı izin vermek, NAT ve Routing işlemleri, Hotspot, VPN gibi basit işlemler için firewall yeterlidir. En çok bilinen Firewall Mikrotik RouterBoard denebilir. Tamamen amacınıza göre seçebilirsiniz.

utm

Firewall seçimi yapıldığında cihazı yapılandırırken kontrolün sizde olmasına özen gösterin. özellikle firewall kurallarından içeriden dışarı doğru giderken Portları ayarlayın ve sadece sizin istediğiniz portların geçmesine izin verin.Standart portlara izin verin ve çalışmayan uygulama çıkınca eğer port gerekiyorsa listeye ekleyin.

IPS ayarını mutlaka yapılandırın. DoS, DDoS atakların önüne geçmek için ayarları yapın.

Web Filter kısmını mutlaka zararlı içerikleri engelleyecek şekilde ayarlayın.(Pornography, Sexual materials, P2P/file sharing, Gambling…vb)

Application Filter özelliğini kullanarak zararlı uygulamaları veya zararlı uygulama kategorilerini engelleyin.(p2p,proxy,vpn,tunnel..)

Eğer içeride DNS server yok ise firewall üzerinden DNS Forwarding özelliğini kullanın. İçerideki cihazlara IP dağıtırken DNS olarak firewall IP adresini dağıtın. İçeriden dışarı DNS sorgusunu kapatın.(Port TCP/UDP 53). Bu sayede firewall DNS Server görevi görecek ve sizin istediğiniz DNS adreslerine yönlendirecektir.

DMZ yapısı kullanın. Eğer içeride sunucular fazla ise lokal ağı komple sunucu ağına eriştirmek risklidir. Tehditlere açık bir yapı oluşur. Ufak ağlarda çok yapılan bir hatadır. Ama orta ve büyük ağlarda yapılmaması gereklidir. DMZ yapısı oluşturulduğunda sunuculara erişmek isteyenler firewall üzerinden erişecektir. Gerekli ayarları yaptığınızda data, geçiş esnasında antivirüs,IPS gibi tehdit algılayıcı sistemler tarafından taranacaktır.

dmz

Eğer TTVPN gibi bir yapı kullanıyorsanız static route kurallarını ihmal etmeyin.

Qos ayarlarını yapın. Özellikle videolar gibi band genişliğini sömürecek tip uygulamalara hız tanımlaması yapın.

Networkteki cihazları yönetmek için güvenlik duvarında IP tabanlı, User Tabanlı, MAC Tabanlı yönetim sağlayabilirsiniz. Günümüzdeki ürünlerin hemen hemen hepsi en az birini karşılayabilmektedir.

Dışarıdan içeriye port açtığınızda mutlaka bağlanacak kişinin IP adresini tanımlayın. Eğer tanımlama şansınız yoksa standart port açmak yerine farklı bir port numarası verip içeriye yönlendirme kısmında asıl porta çevirin. Örneğin RDP için 3389 portu kullanılır. Dışarıdan gelirken TCP 50603 portunu açın ama içeriye girince TCP 3389 portuna çevirin.

Temel olarak yapılacak ayarlar bu kadar. Senaryoya göre farklı ayarlarda eklenebilir yada çıkartılabilir.

VLAN ve DHCP Konfigürasyonu

Kurulumu yapılan bütün networklerde VLAN 1 otomatik olarak yapılandırılır. Herşey VLAN 1 üzerinden çalışır. Default değer olduğu için cihazlarda tanımlı olarak gelmektedir.

Fakat network büyüdükçe ve subnet genişledikçe broadcast trafiği artar buda networkte yavaşlamalara neden olur. yönetimi zordur. Bunların önüne geçmek için farklı VLAN lar tanımlanır ve switch üzerinden ilgili portlara VLAN lar atanır. Her VLAN için bir subnet tanımlaması yapılır. Eğer ortamda L3 omurga var ise VLAN lar omurga üzerinde sonlandırılır ve gerekli route işlemleri yapılır. Eğer L3 Omurga yok ise Firewall üzerinde de sonlandırılabilir.

VLAN kullanılmasının en iyi tarafı ise broadcast trafiğinin VLAN lar arasında geçiş yapamamasıdır. Bu sayede yavaşlık sorunları minimum düzeye düşecektir.

VLAN için örnek vermek gerekirse aşağıdaki şekilde bir örnek verilebilir.

  • VLAN1 : Default VLAN : 192.168.2.0/24
  • VLAN2 : Kamera Sistemi : 172.16.16.0/24
  • VLAN3 : Wireless Ağı : 10.59.2.0/24
  • VLAN4 : Wireless Misafir Ağı : 195.175.39.0/24
  • VLAN5 : IP Telefon Sistemi : 192.100.100.0/24

Gördüğünüz gibi 4 adet VLAN’ım var ve hepsi için subnet tanımlaması atanmıştır. Sistemi bu bilgiye göre inşa edebilirsiniz. Bu tabloyu en başında belirlerseniz işiniz kolaylaşacaktır.

lan-switch-vlan

Statik IP adresleri ile uğraşmak istemezseniz sistemde DHCP server kullanabilirsiniz. Gerekli tanımlamalarını mutlaka düzgün yapın. Kendinize Statik alan bırakın. Bunun anlamı şudur : 192.168.2.0/24 olan bir networkte IP dağıtırken IP havuzunu 192.168.2.1-254 yerine 192.168.2.50-200 gibi başında veya sonunda otomatik dağıtılmayan bir aralık bırakın.

Sistemde elle IP vereceğiniz cihazlara, bırakacağınız bu aralıktan IP adresi verin. Verilen bu IP adreslerini mutlaka not alın.

dhcp_pool

5651 Loglama Sistemi

Bilgi teknolojileri ve iletişim bakanlığı tarafından birden fazla bilgisayarın bulunduğu ağlarda, internet sağlayıcılarında, toplu internet kullanımı olan networklerde internet aktivitesinin loglanması gerkemektedir. Aynı zamanda IP-MAC atamalarınında tutulması gereklidir.

Bu yönde piyasada Logsign gibi ürünler mevcut. Gelişmiş bir ürün olup bir çok güvenlik duvarı ile entegre çalışabilmektedir.

Bu arada logları tutmanız yetmez logların zaman damgası ile imzalanması gerekmektedir. Bu sayede verinin doğruluğunu ispatlayabilirsiniz.

Eğer bir ürün kullanmak istemiyorsanız yapacağınız en güzel işlem bir adet Windows 2012 server üzerine Syslog alıp arşivleyebilen bir yazılım(Kiwi Syslog) kullanıp TIB sayfasındaki imzalama yazılımı ile imzalamanız olacaktır.

DHCP Logu, İnternet Erişim Logu, Firewall Logu, Hotspot Logu olması yeterlidir.

Çok detaya girmeyeceğim ama DHCP log için ana şablon aşağıdaki gibidir.

| Ip Adresi | Kullanıma Başlama Tarih-Saat | Kullanım Bitiş Tarih-Saat | Mac adresi |

Bu şabona göre Logları tutabilirsiniz.

Web ve Firewall Logu için güvenlik duvarının ürettiği log yeterlidir.

Hotspot Logu olarak eğer hotspot sistemi kullanılırsa mutlaka logları tutun.

syslog

Kamera Ağı, Misafir Ağı ve Konfigürasyonu

IP kamera sistemi kullanılacak ise mutlaka kamera networkü için ya VLAN yada harici switch kullanın. Kameraların bitrate değeri yüksek ise düşürmenizi tavsiye ederim. Aksi halde switchler üzerine yük binecektir. Buda yavaşlamaya neden olacaktır. Uygun değer için ürünü aldığınız firmanın teknik bölümü ile görüşebilirsiniz.

Kameralar ile diğer cihazları aynı networke almamaya özen gösterin. Günümüzde çoğu IP Kayıt cihazlarının Poe desteği mevcuttur. Tercihinizi bu yönde yapmaya özen gösterin.

Misafir ağı kurmak isterseniz VLAN kullanın ve ayrı subnetten çıkartın. Misafir ağınızın diğer ağlarınıza erişimini engelleyin. Burada güvenlik önemli kriterdir. Ne olduğu bilinmeyen bilgisayarların sizin sisteminize erişiminin kapatılması gereklidir. Ve misafir ağınzı 5651 loglama yasasına göre kayıt altında tutun.

Başka bir yazıda görüşmek üzere,

Sercan TEK

BİR YORUM YAZIN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ZİYARETÇİ YORUMLARI - 12 YORUM
  1. Ali dedi ki:

    Teorik bilgiler ile pratik tecrübeleri birleştirip çok faydalı paylaşım yapmışsınız. Emeğinize sağlık.

    1. Sercan TEK dedi ki:

      Beğendiğinize sevindim. Bilgimiz dahilinde insanlara yardımcı olmaya çalışıyoruz.

  2. fatih ahmet ünal dedi ki:

    çok güzel bir anlatım olmuş

    1. Sercan TEK dedi ki:

      Eyvallah. Faydalı oldu ise ne mutlu bana.

  3. yahya dedi ki:

    bilgiler cok degerli tesekkur ederim, size birkac sey danismak istiyorim.mail adresinizi verebilirmisiniz

    1. Sercan TEK dedi ki:

      Merhaba

      Hakkımda bölümünde iletişim Bilgileri bulunmaktadır. Konuyu detaylı Mail atarsanız bilgilerimi paylasabilirim.

  4. Banu Gümüş dedi ki:

    gerçekten çok faydalı bir yazı. emeğinize teşekkür ederim.

    1. Sercan TEK dedi ki:

      Faydalı Geri Dönüşler için teşekkürler.

      Tüm Herkes için; aklınıza takılan bir konu olursa bilgim dahilinde yardımcı olmaktan mutluluk duyarım.

  5. Arif dedi ki:

    bizim işletmenin alt yapısını yenilerken yazdıklarınızı dikkate aldım. teşekkürler.

    1. Sercan TEK dedi ki:

      ben teşekkür ederim. kolay gelsin.

  6. Bayram dedi ki:

    Hocam lise bilgisayar teknolojileri bölümünde okuyorum. Bu yazdıklarınızı okulda bile görmedim. elinize sağlık. staj dosyama yazacağım.

    1. Sercan TEK dedi ki:

      okulda bu tarz noktalardan pek söz etmezler. staj dosyanda kullanabilirsin.

Yayımlanan tüm yazılar Sercan TEK tarafından yazılmaktadır. İzinsiz kullanımı yasaktır.