07 31 Ocak - 2 Şubat 2007 Kütahya - Akademik Bilişim Konferansları

İzmir Ekonomi Üniversitesi Kampüs Ağı Yenileme Sürecindeki Çalışmalar ve Dinamik VLAN Yapısına GeçişAydın MutluEski yapıda tüm sunucuların merkezdeki tekbir omurga anahtar üzerinde toplanması veomurgaya 10/100 Mbits gibi düşük kapasite ilebağlanıyor olması yerel ağ servislerinde darboğazlaryaratmaktaydı. Aynı zamanda omurgaanahtar üzerindeki herhangi bir sistem arızasındasunucular da devre dışı kalmaktaydı.Yeni yapıda sunucular iki adet yüksek performanslıgigabit anahtar ile oluşturulan ayrı birsunucu bölgesinde toplanmıştır. Bu yapıdatam yedekliliğin sağlanması için XRN yığınlamateknolojisi kullanılmıştır. Yığın içerisindefarklı üniteler üzerinde bulunan portlarda linkaggregationtanımlanarak sunucuların yüksekperformansla (2Gigabit) omurgaya bağlantıyedekliliği sağlanmıştır. Böylece bir sunucubölgesi anahtarı tamamen devre dışı kalsa bilesistem ikinci anahtar üzerinden hizmetine kesintisiziolarak devam edebilmektedir.Eski yapıda her bir VLAN farklı ağ güvenlikpolitikaları uygulanmaktaydı. Statik VLAN yapısıkullanılıyor olması nedeniyle kenar anahtarlardaher bir port için tek tek manuel olarakVLAN ataması yapılması gerekmekteydi bu daçok fazla iş yükü gerektirmekteydi.adresi bazında VLAN ataması yapılmaktadırböylece her port için ayrı ayrı VLAN tanımlamasıyapılmasına gerek kalmaksızın merkezibir RADIUS server üzerinden kullanıcı VLANataması ve erişim kontrolü yapılmaktadır.Yukarıda bahsedilen yapı Linux tabanlı sunucularüzerinde tarafımızdan geliştirilen uygulamave yöntemlerle OpenLDAP, FreeRADIUSve DHCP gibi açık kaynaklı yazılımlar kullanılarakdevreye alınmıştır.Şekil-3: RADIUS ve LDAP ile kullanıcı doğrulamaKullanıcılar için tanımlanabilen ağ sayısınınkısıtlı olması nedeniyle çok sayıda kullanıcıtek bir VLAN üzerinde toplanmaktaydı. Budurum VLAN’lerde çok sayıda boradcast trafiğiyaratmakta ve ağ performansını olumsuzolarak etkilemekteydi aynı zamanda solucanve virüs saldırılarında güvenlik açısından cidditehditler oluşturmaktaydı.Ağ genelinde statik VLAN yapısı kullanılıyorolması nedeniyle bazı kullanıcılar bilgisayarlarınastatik IP set etmek suretiyle kontrolsüz olarakağa giriş yapabilmekteydi bu durum denetimve güvenlik sorunları yaratmaya başlamıştı.Yeni ağ yapısında statik VLAN yapısını getirdiğiağ yönetim zorluklarının ününe geçebilmekiçin Dinamik VLAN yapısına geçişyapılmıştır. Dinamik VLAN yapısında MAC344Geliştirilen bu uygulama sayesinde her kullanıcıağa bağlanmak istediğinde MAC adresi kenaranahtar tarafından alınıp üzerinde tanımlı olanRADIUS sunucuda denetleniyor. RADIUS sunucubu isteği entegre olarak çalıştığı LDAP’a soruyorve tanımlı bir kullanıcı ise MAC adresinebakılarak bağlı olduğu porta kullanıcının tanımlıolduğu VLAN atanıyor. VLAN atama işlemindensonra ilgili LDAP ile entegre çalışan DHCPsunucusu kullanıcının kendi MAC adresi için ayrılmışolan IP adresini atıyor.RADIUS sunucusuLDAP’ta tanımlanmamış bir kullanıcı olduğunutespit ederse, port üzerindeki tanımsız kullanıcıyıkısıtlı yetkilere sahip bir VLAN’a yönlendiriyor.Bu şekilde yetkisiz erişimlerin önüne geçilebildiğigibi kullanıcının Kampüs içerisinde özgür birşekilde dolaşmasına ve Kampüs dahilindeki herporttan kendi VLAN’inden ve kendi IP adresi iledolaşması sağlanmaktadır.(Şekil-3)