İzmir Ekonomi Üniversitesi Kampüs Ağı Yenileme Sürecindeki Çalışmalar ve Dinamik VLAN yapısına geçiş.

CASE STUDY

�ZMIR EKONOMI ÜNIVERSITESI

KURUM: Izmir Ekonomi UniversitesiFALIYET ALANI: EgitimYER: Izmir , TurkiyeOGRENCI SAYISI: 5000

Özet:Bu belge Üniversitemizde öğrenci sayısının hızla artmasına bağlı olarak yeni ekbinaların da kampüse dahil olması ile birlikte kampüs ağ omurgasının yenilenmesive artan bilgisayar sayısı nedeniyle denetim ve yönetimi zorlaşan statik sanal ağ yapısından dinamik sanal ağ yapısına geçiş sürecindeki çalışmalar hakkında bilgi vermektedir.

Anahtar Kelimeler: Kampüs ağı planlama, RADIUS kullanıcı yetkilendirme,OpenLDAP-DHCP-freeRADIUS, Dinamik VLAN.

Girişİzmir Ekonomi Üniversitesi; İzmir’de Ege bölgesinin ilk özel üniversitesi olarak 295 örenci ve 50 akademik/idari personel ile 2001 yılında eğitim ve öğretiminebaşlamıştır. Ayrıca Üniversitemiz tüm lisans öğrencilerinedizüstü bilgisayar sunan Ege bölgesindeki ilk vakıfüniversitesi olma özelliğini de taşımaktadır.

Üniversite Ağ altyapısı kuruluş aşamasında uzun vadeliteknolojik genişlemeler göz önünde bulundurularakplanlanmış ve kuruluş döneminde 85 dizüstü ve 85 PColmak üzere toplam 170 bilgisayar ile devreye alınmıştır.Öğrenci sayısı bakımında her geçen yıl katlanarak büyüyenÜniversitemiz 2006 yılı itibariyle yaklaşık olarak 5000öğrenci ve 500 akademik/idari personel kapasitesineulaşmıştır. Artan potansiyele bağlı olarak 2006 yılında Ek-Derslik binaları ve yurt binası yapılarak üniversitemizgenişlemiştir. 5 Yıllık büyüme süreci sonunda 6000kullanıcıya yaklaşık 5200 bilgisayar ile ağ hizmet sunmayabaşlayan Üniversite ağ omurgasının yenilenen teknolojikgelişmelere de bağlı olarak kullanıcılara en iyi hizmetisağlayabilmek için yeniden yapılanması ihtiyacı doğmuştur.

İEÜ Eski ağ omurgası;• Merkezde bir omurga anahtar ve her biri F/O linklerle

bu merkezi anahtara yıldız topoloji ile bağlanan çoksayıda kenar anahtardan oluşmaktaydı.

• Sistem genelindeki yaklaşık 23 sunucu 10/100 MbitsCat5E ile omurga anahtara bağlanarak hizmetvermekteydi.

• Omurga Layer-2 olarak çalışmaktaydı ve sanal ağlararası tüm yönlendirme (Routing) işlemleri Linux tabanlısunucuda yapılmaktaydı.

• Ağ Omurgası Akademik, İdari ve Öğrenci olmak üzere 3 kullanıcı sanal ağı (VLAN) ve 5 Sunucu sanal ağıolmak üzere toplam 8 Temel sanal ağ (VLAN) ile hizmet vermekteydi.

• Ağ üzerindeki tüm kullanıcı cihazlarının merkezi DHCPsunucular üzerinde tanıtılarak, kendilerine tahsis edilenIP adresleri ile sisteme girmeleri sağlanmakta ve kontroledilmekteydi.

• Kenar anahtarlarda portlar üzerinde statik VLAN kullanılmaktaydı.

İEÜ Yeni Ağ Omurgası;Yeni ağ yapısı planlarken, eski yapıdaki eksiklikler ve yaşanan sıkıntılar da göz önünde bulundurularakaşağıdaki amaçlar hedeflenmiştir.

• Mevcut 2 katmanlı ağ yapısından 3 katmanlı ağyapısına geçerek performans artırımına ulaşmak,

• Esnek yapıda genişleyebilen VLAN yapısına ulaşmak,

• Modüler ve gelişime açık ağ altyapısı oluşturmak,

• Yüksek bant genişliği gerektiren uygulamalarıkullanabilecek esnek bir yapı oluşturmak,

• Maksimum sistem “Uptime” ‘ı yakalayabilmek,

• Omurga seviyesinde tam yedekliliğe ulaşmak,

• Arızaların lokalize edilerek kolay denetlenebilir yapıya ulaşmak,

Planlanan hedefler doğrultusunda kapsamlı bir planlama sonucunda yeni ağ yapısı devreye alınmıştır.

Eski ağ omurgası tamamen L2 olarak çalışmaktaydı. Sanal ağlar (VLAN) arasındaki tüm trafik yönlendirmeleriLinux tabanlı bir sunucu üzerinden yapılmaktaydı. Bu sunucu Firewall, NAT ve varsayılan ağ geçidi gibi önemligörevleri de yürütmekte olduğundan sunucu üzerindemeydana gelen teknik arızalar tüm sistemin devre dışıkalmasına neden olmaktaydı. Ayrıca yukarıda bahsedilengörevlerin sunucu tabanlı tek bir merkezde yapılıyor olması ağ genelinde darboğazlara da neden olmakta ve ağ performansını önemli ölçüde etkilemekteydi.

Oluşturulan yeni yapıda tam yedeklilik ve sistem sürekliliğinisağlamak amacıyla omurga katmanında iki adet yüksekperformanslı şase tipi anahtarlar kullanılmıştır. Yeni yapıdaihtiyaçlar ile doğru orantılı olarak artan sanal ağlararasındaki tüm trafik yönlendirmeleri omurga anahtarlarüzerine alınmış ve yüksek yönlendirme performansı eldeedilmiştir. Bu katmanda ağ geçidi (Gateway) yedekliliği ve yük paylaşımı sağlamak amacıyla VRRP teknolojisikullanılmıştır.VRRP teknolojisi varsayılan ağ geçidiniyedeklemek için kullanılan bir protokoldür. Ağ geçidinde bir sorun oluşursa kullanıcı diğer ağlara ulaşamayacaktır.VRRP teknolojisi bu sorunu ortadan kaldırmak için kullanıcıtarafında herhangi bir adres değişikliği yapmadan varsayılanağ geçidini yedeklemeyi sağlar.

VRRP teknolojisini kullanarak ağ yedekliliğini sağlamak içinsistemimizde kullanılan iki omurga anahtardan biri ana ağgeçidi diğeri de yedek ağ geçidi olarak konfigüre edilerektam yedeklilik ve yük paylaşımı sağlanmıştır.

Dağıtım katmanında yüksek performanslı Gigabitanahtarlar kullanılmıştır. Yeni yapıda bu katmanın kullanımamacı ağ performansını yükseltmek, olası ağ sorunlarını(Worm,Virüs, Ethernet Arızası vb.) lokalize etmek veyönetim kolaylığı sağlamaktır. Dağıtım anahtarları Kampüsgenelindeki ara toplama bölgelerinde konumlandırılmıştır.Her bir dağıtım anahtarı her bir omurga anahtara tamyedekli yapıyı sağlayacak şekilde 2’şer adet Gigabit F/Olinkler halinde bağlanmıştır.

Bu sayede her bir dağıtım anahtarı ana omurgayatoplamda 4 Gigabit F/O linkle bağlanmıştır, böylece eski yapı performansı 4 kat arttırılmıştır.

Dağıtım anahtarları ve omurga anahtarları arasında MSTPteknolojisi kullanılarak bu katmanlar arasında da yedeklilikve yük paylaşımı sağlanmıştır. MSTP teknolojisi STP ve RSTPteknolojilerinin geliştirilmesi ile ortaya çıkmıştır. Kısaca MSTPönceden tanımlanmış VLAN guruplarını belirli bir algoritmadahilinde yönlendirerek omurgaya giden tüm linklerin aktifolarak kullanılmasını sağlamaktadır.

Kenar anahtar katmanında yüksek performanslı 48 portluyönetilebilir anahtarlar kullanılmıştır. Kenar anahtarlarınihtiyaçlar çerçevesinde zaman zaman konum değiştiriyorolmaları nedeniyle, bu noktada bakır kablolamanınesnekliğinden ve performansından faydalanılmıştır. Her bir kenar anahtar konumlandırıldığı fiziksel dağıtımnoktasındaki dağıtım anahtarına 2Gigabit Cat5E’ilebağlanmaktadır böylece performans artışı sağlanmıştır.

Eski yapıda tüm sunucuların merkezdeki tek bir omurgaanahtar üzerinde toplanması ve omurgaya 10/100 Mbitsgibi düşük kapasite ile bağlanıyor olması yerel ağservislerinde darboğazlar yaratmaktaydı. Aynı zamandaomurga anahtar üzerindeki herhangi bir sistem arızasındasunucular da devre dışı kalmaktaydı.

Yeni yapıda sunucular iki adet yüksek performanslı gigabit anahtar ile oluşturulan ayrı bir sunucu bölgesindetoplanmıştır. Bu yapıda tam yedekliliğin sağlanması içinXRN yığınlama teknolojisi kullanılmıştır. Yığın içerisindefarklı üniteler üzerinde bulunan portlarda link-aggregationtanımlanarak sunucuların yüksek performansla (2Gigabit)omurgaya bağlantı yedekliliği sağlanmıştır. Böylece bir

sunucu bölgesi anahtarı tamamen devre dışı kalsa bilesistem ikinci anahtar üzerinden hizmetine kesintisizi olarak devam edebilmektedir.

Eski yapıda her bir VLAN farklı ağ güvenlik politikalarıuygulanmaktaydı. Statik VLAN yapısı kullanılıyor olmasınedeniyle kenar anahtarlarda her bir port için tek tekmanuel olarak VLAN ataması yapılması gerekmekteydi bu da çok fazla iş yükü gerektirmekteydi.

Kullanıcılar için tanımlanabilen ağ sayısının kısıtlı olması nedeniyle çok sayıda kullanıcı tek bir VLANüzerinde toplanmaktaydı. Bu durum VLAN’lerde çoksayıda boradcast trafiği yaratmakta ve ağ performansınıolumsuz olarak etkilemekteydi aynı zamanda solucan ve virüs saldırılarında güvenlik açısından ciddi tehditleroluşturmaktaydı.

Ağ genelinde statik VLAN yapısı kullanılıyor olması nedeniylebazı kullanıcılar bilgisayarlarına statik IP set etmek suretiylekontrolsüz olarak ağa giriş yapabilmekteydi bu durumdenetim ve güvenlik sorunları yaratmaya başlamıştı.

Yeni ağ yapısında statik VLAN yapısını getirdiği ağ yönetimzorluklarının ününe geçebilmek için Dinamik VLAN yapısınageçiş yapılmıştır. Dinamik VLAN yapısında MAC adresibazında VLAN ataması yapılmaktadır böylece her port içinayrı ayrı VLAN tanımlaması yapılmasına gerek kalmaksızınmerkezi bir RADIUS server üzerinden kullanıcı VLANataması ve erişim kontrolü yapılmaktadır.

Yukarıda bahsedilen yapı Linux tabanlı sunucular üzerindetarafımızdan geliştirilen uygulama ve yöntemlerleOpenLDAP, FreeRADIUS ve DHCP gibi açık kaynaklıyazılımlar kullanılarak devreye alınmıştır.

Geliştirilen bu uygulama sayesinde her kullanıcı ağabağlanmak istediğinde MAC adresi kenar anahtartarafından alınıp üzerinde tanımlı olan RADIUS sunucudadenetleniyor. RADIUS sunucu bu isteği entegre olarakçalıştığı LDAP’a soruyor ve tanımlı bir kullanıcı ise MACadresine bakılarak bağlı olduğu porta kullanıcının tanımlıolduğu VLAN atanıyor. VLAN atama işleminden sonra ilgiliLDAP ile entegre çalışan DHCP sunucusu kullanıcının kendiMAC adresi için ayrılmış olan IP adresini atıyor. RADIUSsunucusu LDAP’ta tanımlanmamış bir kullanıcı olduğunutespit ederse, port üzerindeki tanımsız kullanıcıyı kısıtlıyetkilere sahip bir VLAN’a yönlendiriyor.

Tüm telif hakkı 3Com şirketine ait ve saklıdır. 3Com, 3Com firma logosu, Tippingpoint ve XRN 3Com firmasının tescilli markalarıdır. Diğer tüm firma ve ürün isimleriilgili firmalarin kendine tescil edilmiş olabilir. 3Com verilen bilgilerin doğruluğu konusunda ve olası yazım hatalarından doğabilecek risklere karşı sorumluluk kabuletmemektedir. Bu dokümanda verilen özellikler ve diğer bilgiler herhangi bir bildirim yapılmadan değiştirilebilir 3Com bu hakkını saklı tutar. 460083-001

Bu şekilde yetkisiz erişimlerin önüne geçilebildiği gibi kullanıcının Kampüs içerisinde özgür bir şekildedolaşmasına ve Kampüs dahilindeki her porttan kendi VLAN’inden ve kendi IP adresi ile dolaşmasısağlanmaktadır.

Dinamik VLAN yapısı ile birlikte kullanılmaya başlanan bu denetleme mekanizması sayesinde izinsiz kullanıcıların,statik IP set etseler bile sisteme kontrolsüz girişleri engellenmiştir.

Esnek yapıda sanal ağ oluşturulması ve merkezi olarakdenetlenmesini sağlayan bu dinamik yapı ile birliktekullanıcılar Fakülte ve Departman bazında sanal ağlarabölünmüştür. Çok sayıdaki kullanıcının tek bir ağ üzerindeyığılması engellenmiş ve solucan, virüs gibi olumsuzetkenler kontrol altına alınarak yüksek performanslı esnek bir ağ yapısına ulaşılmıştır.

Ağ Yönetimi Yeni yapı ile birlikte ağdaki tüm aktif cihazlar tek birmerkezden yönetilebilir hale getirilmiştir. Ağ yönetimmerkezinden ağ üzerindeki herhangi bir cihaz IP veya MACadresine göre sorgulanarak yer tespiti yapılabilmektedir. Ağ dahilindeki tüm aktif cihazların yapısal haritasıçıkartılabilmekte ve oluşan sorunlar sistem tarafındanotomatik olarak ağ yöneticilerine bildirilmektedir.

Sistemde kullanılan SNMP tabanlı açık kaynak yazılımlarıolan CACTI ve WeatherMap ile ağ genelindeki tüm aktif cihazların ağ performansları gerçek zamanlı olarakizlenmekte ve geriye dönük detaylı bilgi alınabilmektedir.Bu denetleme ve gözetleme mekanizması sayesinde Ağgenelinde oluşabilecek sorunlar ve oluşabilecek istenmeyentrafik kontrol altına alınmıştır.

Network yapımızda kullanılan 3Com ürünleri;

Omurga Switch: 2 adet 3Com Switch 8810 modüleromurga şasi

Dağıtım katmanı: 3Com Switch 5500G Stackable L3 Switches

Kenar Switch: 3Com Switch 4500

Yönetim yazılımı: 3Com Network Director

IPS: 3Com – Tippingpoint IPS 2400

Kullandigimiz 3Com ürünlerinin yazılım özellikleri,performans değerleri ve kesintisiz sürekli çalışabilmeözellikleri üniversitemiz bünyesinde arzu edilen kriterlerdive ihale zamanında bu nitelikleri sayesinde Cisco, Nortell ve Enterasys gibi rakiplerine karşı başarılı bir Fiyat/Performans oranı göstererek projeyi kazandı.

Proje başında hayalimiz olan;

• Kesintisiz yüksek performanslı Network omurgası

• Ölçeklenebilirlik ve öngörülemeyen kullanıcıartımlarında genişlemeye uygunluk

• Merkezi yönetim

• Trafik mühendisliği

• Kampüs genelinde Network temelli erişim ve güvenlikönlemleri (Mac Based Authentication)

• Mobile Kullanıcılar

• Kullanıcı aktivitelerinin izlenebilir ve raporlanabilir olması

gibi özellikleri şu anda 3Com ürünleri ile kesintisiz olaraksahibiz ve bu sayede iş süreçlerinde çalışma eforumuzusorun çözmek yerine proje geliştirmeye yönlendirebiliyoruz.Universitemiz Bilişim kadrosunda çok sayıda yazılımuzmanımız var ve bu ekibin gücü ile iş modelimize uygunihtiyaçlar doğrultusunda Network yapımız için sürekli yeniizleme, kontrol ve güvenlik çözümlerimizi üretebiliyoruz.

Eskiden kullandığımız ürünler ve Network yapısında ise,gün boyu tüm eforumuz sebebi tespit edilemeyensorunları çözmek ve günü kurtarmak ile harcanmakta idi. Bu açıdan bakıldığında doğru ürün ve üretici seçinin iş modeli ve kurumsal performans açısında ne kadarönemli olduğu ortaya çıkmaktadır.

3Com Turkiye

Prof. Dr. Bulent Tarcan Sok.Saral Center No: 25 Kat:5Gayrettepe 34349 IstanbulTurkiye

Tel.: +90 212 347 99 66

Aydın Mutlu

İzmir Ekonomi ÜniversitesiBilgi İşlem Müdürlüğü

aydin.mutlu@izmirekonomi.edu.tr