ZyXEL PARTNER EĞİTİMLERİ KURS DÖKÜMANI NETRON

Transkript

ZyXEL
PARTNER EĞİTİMLERİ
KURS DÖKÜMANI
NETRON TECHNOLOGY
2008
İçindekiler
2
İçindekiler
İçindekiler ................................................................................ 2
Temel Network Kavramları ....................................................... 7
Network’lerde Veri Aktarımı .........................................................................7
Veri Paketleri ...................................................................................................10
Network Tipleri ...............................................................................................11
Network Scope’ları ........................................................................................11
Temel Network Bileşenleri ..........................................................................14
Network Adaptörleri ..................................................................................14
Kablolar.........................................................................................................19
OSI Referans Modeli .....................................................................................22
OSI ve Çalışma Prensibi...........................................................................24
OSI Katmanları ...........................................................................................27
Network’ü Genişletmek................................................................................30
Hub’lar ...........................................................................................................31
Switch ............................................................................................................33
Router............................................................................................................35
Gateway........................................................................................................38
IP ADRESLEME................................................................................................39
IP Adreslemenin Amacı ............................................................................39
IP İle Adresleme.............................................................................................41
Subnet Mask ve IP Adreslerinin Genel Yapısı ...................................41
Onlu Sistemin İkili Sisteme Çevrilmesi ...............................................44
AND İşlemi ve IP Sınıfları ........................................................................45
IP Sınıfları .....................................................................................................49
Subnetting İşlemi ve Subnetting Hesapları .......................................52
WAN TEKNOLOJİLERİ ...................................................................................57
Leased Line Teknolojisi Nedir, Nasıl Çalışır? .....................................57
Frame Relay Teknolojisi Nedir, Nasıl Çalışır?....................................59
ATM (Asynchronous Transfer Mode)....................................................62
ADSL ..............................................................................................................66
Avantajlar.....................................................................................................70
Dezavantajları .............................................................................................71
G.SHDSL .......................................................................................................71
Metro Ethernet............................................................................................73
3
ZyXEL Partner Eğitimleri – Netron Technology - 2008
ZyWALL USG Serisi ................................................................. 75
ZyWALL USG Serisi Özellikleri ...................................................................75
Firewall ..........................................................................................................75
Virtual Private Networks (VPN) .............................................................77
IDP (Atak Tespit ve Engelleme) ............................................................79
Anti-Virüs......................................................................................................79
Anti-Spam ....................................................................................................80
Content Filtering (İçerik Filitreleme) ...................................................80
Application Patrol .......................................................................................80
Bandwidth Management (Bandgenişliği Yönetimi)..........................81
High Availability (Yüksek Erişebilirlilik)...............................................81
ZyWALL Konfigürasyon Örnekleri: ...........................................................82
Interface Rollerinin Değiştirilmesi ........................................................83
WAN Arayüzünde PPPoE konfigürasyonu ...........................................84
Zone Konfigürasyonu................................................................................87
DDNS Konfigürasyonu..............................................................................89
Port Yönlendirmesi (Virtual Servers)...................................................91
Firewall Kurallarının Tanımlanması ......................................................93
Force User Authentication.......................................................................97
IPSec VPN Tünel Kurulumu...................................................................101
Konfigürasyon Dosyasının Yedeklenmesi .........................................108
Kayıt ve Lisans İşlemleri........................................................................109
Vantage Raporlama Yazılımı.................................................................118
Switch Uygulamaları............................................................. 126
VLAN kullanılarak 2 switch nasıl bağlanır ?.........................................126
Bilgisayarlar VLAN kullanılarak birbirinden nasıl izole edilirler ve
internete girmek için nasıl Router’a bağlanırlar ? .............................129
Layer 3 switch’de Subnet (Alt Ağlar) nasıl birbirinden ayrılır?......131
Layer 3 switch’te Port Mirroring (Port Aynalama) nasıl ayarlanır?
...........................................................................................................................133
Bir 802.1x environment (ortamı) nasıl ayarlanır ? ...........................134
Switch içindeki Port Security ve Static Mac Forwarding nasıl
kullanılır? ........................................................................................................137
Switch de VLAN Trunking kullanarak iki switch’i nasıl bağlarım ?
...........................................................................................................................139
Switch de link aggregation nasıl kullanılır.? ......................................141
GVRP nasıl configure edilir ? ....................................................................142
Kablosuz (Wireless) Network’ler .......................................... 149
İçindekiler
4
Kablosuz Network Standartları................................................................151
Kablosuz Networklerin Kapsama Alanları.............................................152
Kapsama Alanının Genişletilmesi ............................................................153
Kablosuz Netowklerde Güvenlik..............................................................155
1. MAC Adres Filitrelemesi ....................................................................155
2. WEP Şifreleme (WEP Encryption) ..................................................155
3. 802.1x Authentication.......................................................................156
4. WPA-PSK / WPA2-PSK ......................................................................156
5. WPA / WPA2 .........................................................................................157
Kablosuz Network Konfigürasyon Örnekleri........................................158
Bir Kablosuz Network Oluşturmak......................................................158
Birden Çok Kablosuz Network Oluşturmak......................................161
Access Point’i Bridge Mode’da Çalıştırma.........................................162
Access Point’i Repeater Mode’da Çalıştırma....................................164
WPA-PSK / WPA2-PSK Şifreleme İşlemleri......................................165
RADIUS İle WPA / WPA2 şifreleme ....................................................166
ZyAIR G-570S Kurulum ve Konfigürasyonu........................................168
ZyAIR G-570S Access Point (Erişim Noktası ) için Web
Konfigürasyonu.........................................................................................168
G-570S’in AP+Repeater modda ayarlanmasını..............................175
G-570S’in Bridge Modda Ayarlanması...............................................177
G-570S’in Client Modda Ayarlanması ................................................179
IP DSLAM ve Hot Spot Gateway’ler....................................... 182
IP DSLAM (Digital Subscriber Line Access Multiplexer) ..................182
Hot-Spot Gateway’ler .................................................................................183
Örnek DSLAM ve Hot-Spot Gateway Kullanım Senaryosu ve
Konfigürasyonları .........................................................................................184
VSG-1200 v2 Konfigürasyonu .............................................................185
Yazıcıların VSG-1200 ile kullanılması ................................................192
ES-2108 Switch Konfigürasyonu.........................................................195
IES-1248-51A Konfigürasyonu............................................................199
Konfigürasyon Örnekleri....................................................... 205
Zyxel Adsl Router Temel Kurulumu .......................................................205
NAT Port Yönlendirme (Server Hosting)...............................................208
Zyxel 662HW Üzerinde IPSec VPN Tünel Kurulumu.........................213
Prestige 2002’nin SIP server’a kayıt edilmesi ....................................216
Prestige 2002’lerin SIP server olmadan birbirlerini araması .........221
P 2002’nin ayarlanması..........................................................................221
5
662HW’nin konfigurasyonu...................................................................226
İçindekiler
6
7
Temel Network Kavramları
Network’lerde Veri Aktarımı
Temel olarak bir network (bilgisayar ağı), birden çok bilgisayarın birbiriyle
iletişim kurabilecek şekilde birleşmesi olarak tanımlanabilir. Bu bilgisayarların
arasında gidip gelen ve daha önce sanki birer soruymuş gibi aldığımız
mesajlar, kullandığımız bilgisayar içerisinde pek çok evreden geçerek
oluşturulan komutlardır.
Bu komutlar pek çok evreden geçtikten sonra bir tür elektrik sinyaline
dönüşür. Bu elektrik sinyalleri, bilgisayarlarınızı birbirine bağlayan kablolar
yardımıyla aktarılır. Elbette, “Sendeki şu dosyaya erişebilir miyim?” gibi
sorular, aslında bizim, iki bilgisayar arasında oluşan iletişimi anlatmak için
kullandığımız model sorulardır. Temelde, arada gidip gelen sinyaller bu tür bir
İçindekiler
mantıkla çalışsa da, bilgisayarların bir biriyle konuşmak adına kullandığı şey,
iletişim protokolleri, mesajları ve fonksiyonlardır. Bir işletim sistemi bizim daha
önce “....şu kullanıcıya şu tip bir izin verebilirsin” şeklinde anlattığımız
mesajları, birbirine bir protokol dahilinde, komutlar şeklinde iletirler. Komutlar,
işletim sisteminin içindeki bir bölüm ya da bir servis tarafından alınarak
değerlendirilmeye başlanır. Fakat bir bilgisayarın üzerinde çalışan bir işletim
sistemi ya da yazılım, bir başka bilgisayarın üzerindeki bir işletim sistemine bu
tür komutlar ve bu komutları takip eden bilgiler göndermek istediğinde,
komutlar bir elektrik kablosundan geçecek kadar basit elektrik sinyallerine
dönüştürülmelidir.
Bu dönüştürme işlemi pek çok safhadan oluşur ve her safhada bir tür protokol
izlenir. Bir protokol, herhangi bir verinin nasıl işleneceğini ve nasıl söyleneceğini anlatan kurallar bütünüdür. Örneğin, bir A protokolü herhangi bir komut
karşı taraftaki bir makineye gönderileceği zaman, önce bu mesajın hangi
bilgisayardan geldiğini daha sonrada nasıl bir komut olduğunu, sonra da
komutun buyurduğu isteğin gönderilmesini sağlar. Aynı tipte bir komut
göndermek için de B protokolü, önce mesajın ne tip bir mesaj olduğunu, daha
sonra komutun yerine getirilmesi geren fonksiyonu en sonunda da bu komutun
nereden geldiğini anlatan bilgiyi gönderiyor olabilir. Kısaca protokoller, izlenmesi gereken iletişim kuralları koyarlar. İnsanlar için diller ne ise, bilgisayarlar
için de protokoller o demektir.
8
9
Görüldüğü üzere, A ve B protokolleri, sadece basit bir komutu gönderirken
dahi farklı yöntemlerin izlenmesini sağlayabiliyor. Bu nedenle iki bilgisayarın,
bir biri ile anlaşabilmesi için her safhada benzer protokolleri anlıyor olması
gerekmektedir. Aksi halde sadece A protokolünden anlayan bir bilgisayar B
protokolünü kullanan diğer bilgisayarın gönderdiği verileri farklı şekilde ele
almaya başlayacaktır. Bir bilgisayar ilk gönderilen veri paketinin, bu paketin
nereden geldiğini söyleyen bir mesaj olduğunu zannederken, bu paketin
içeriği aslında tamamen farklı olabilir. Bu durumda, veriler anlamsız olarak
değerlendirilirler. Ve bir veri paketi anlamsız olarak değerlendirilirse, ya bu
mesajın karşı taraftan tekrarlanması istenir ya da verilerin işlenmesi
durdurulur. Haberleşme protokollerine örnek olarak TCP/IP, NetBEUI, IPX/SPX
gibi protokolleri gösterebiliriz.
İçindekiler
Veri Paketleri
Elektrik sinyalleri, kablolardan giderken temelde birer elektrik sinyali yığını
halinde giderler. Bu yığınlar içerisinde gönderilen veriler bir komut ya da bir
veri olabilir. Örneğin İnternet’ten bir dosyayı bilgisayarımıza indirirken,
öncelikle bunun indirilmesi için gerekli pek çok komut gönderilir. Daha sonra
ise bu komutların ardından istediğimiz dosya, veri parçaları halinde bilgisayara
akmaya başlar. Sonuçta veriler kablolar üzerinde parça parça bölünerek
iletilirler. Bu parçalar 0’lar ve 1’lerden oluşan temel elektrik sinyalleridir.
Bu veri paketlerinin oluşturulması ise pek çok safhaya bölünmüş işlemler
gerektirir. Bir dosyanın bir başka bilgisayardan kopyalanması için, iki bilgisayar
arasında önceden pek çok iletişim paketinin gidip gelmesi gerekir. Bu
durumun nedenlerini bölüm ilerledikçe tartışacağız.
Önümüzdeki birkaç bölüm boyunca, bu safhaları ve neden böyle bir şeye
ihtiyaç duyulduğunu tartışacağız. Yaptığımız bir tıklamanın bir veri sinyaline
dönüşümü pek çok aşamadan geçer. Örneğin biz İnternet’te gördüğümüz bir
Web sayfası üzerinde bir link’e tıkladığımızda, kullandığımız Internet Explorer
ya da benzeri bir program bu link’in gösterdiği yere gitmek istediğimizi anlar.
Bunun için işletim sistemine, gitmek istediğimiz adresin bulunması için talimatlar gönderir. Bu talimatlarda belirtilen adresin İnternet üzerinde fiziksel
yerinin bulunması için bir başka mekanizma çalışır. Bu çalışan mekanizma
adresin bulunması için kullanılacak komutları üretir. Bu komutlar daha sonra
tartışacağımız, TCP/IP protokol yığınına göre düzenlenir. Ve sonra da
modeminizden gönderilmek üzere, elektriksel sinyallere dönüştürülür. Tabi bu
sırada elektrik sinyallerinin de fiziksel olarak gideceği adreslerin üretilmesi için
pek çok işlem yapılır. Tüm bu işlemler safha safha ele alınarak incelenmiş ve
her bir safha için protokoller oluşturulmuştur. Böylece bir safhada oluşturulan
bir bilgi bir diğer safhaya iletildiğinde, safhadan safhaya devredilen bilgi her iki
taraf tarafından da anlaşılabilir.
10
11
Network Tipleri
Önceki iki bölüm boyunca, sizlerle, çok temel anlamda, network’lerin nasıl
çalıştığını tartıştık. Amaç, bir soru ya da verinin bir başka bilgisayara
gönderilirken,
çeşitli
aşamalardan
geçirilerek,
elektrik
sinyallerine
dönüştüğünü anlatmak ve daha sonra da bu elektrik sinyallerinin, karşı tarafa
kablolar yardımıyla aktarıldığını tasvir etmekti. Bu aşamalarda, uyulması
gereken kurallar olduğunu söyledik. Daha sonra da, kablolar üzerinde giden
elektrik sinyallerinin, küme küme gönderildiğini ve bunların her birine veri
paketi denildiğini söylemiştik. Bu bölümde, network’lerin fiziki ya da
kavramsal olarak nasıl kuruldukları ve çeşitleri konusunda tartışacağız. Bu
tartışmadan sonra, tekrar veri paketleri ve elektrik sinyallerinin nasıl aşama
aşama ele alındığı konusuna geri döneceğiz.
Bir network’ün bileşenlerini anlamak ya da tasarlamak için karar verilmesi
gereken ilk kriterle yani, network’ünüzün büyüklüğünü belirlemekle işe
başlıyoruz. Network’ünüzdeki temel ağ cihazlarını tanımak, ne gibi özellikleri
taşıyabileceği konusunda fikir sahibi olmak da bir gereklilik.
Network Scope’ları
Scope kelimesinin İngilizce sözlükteki anlamları arasında, anlam, kavranılması
gereken geniş fikir, saha, alan gibi pek çok açıklama bulunuyor. Network
scope’ları, network’lerinizin, büyüklük ve nasıl yönetildiği konusunda onları
ayırt eden bir kriter.
Bir network’ün scope’u onun kullanılacağı alan ve kullanıcı sayısı ile
belirlenebilir. Network scope’u bir ağın nasıl dizayn edileceğinden, ne tür
iletişim cihazları kullanılacağına kadar pek çok şeyi belirler. Network scope’ları
ikiye ayrılırlar:
Local Area Network (Yerel Ağ): Bir LAN (Local Area Network), birbirine yakın
bilgisayarların oluşturduğu bir ağı anlatmakta kullanılır. Örneğin, bir ofis
içindeki bilgisayarlar ya da bir bina içindeki bir bilgisayar ağı, bir LAN yani bir
yerel ağ olarak algılanır. Yerel ağlar birkaç bilgisayardan bağlayıp, yüzlerce
bilgisayarın olduğu bir network’e kadar büyüyebilirler. Ama burada anlattığımız
bilgisayarların
hemen
hemen
hepsi,
birbirine
çok
yakın
mesafelerle
İçindekiler
konumlandırılmış ya da çok hızlı network bağlantılarıyla birbirine bağlanmış
birimlerdir.
Wide Area Network (Geniş Ölçekli Ağ): Bir WAN (Wide Area Network),
birbirinden
uzak
ve
birbirine
daha
yavaş
bağlantılarla
bağlı
bilgisayarların
tanımlanmasında kullanılan bir kavramdır. İstanbul ve Ankara arasında
kurulmuş bir network hattı aslında bir WAN olarak algılanmaktadır. Birbirinden
çok uzakta olan iki bina arasında yer alan bir network, bir WAN olarak
adlandırılabilir. Bu durum göreceli olarak ele alınır.
12
13
Eğer çok hızlı ağ bağlantıları yapacak kadar paranız varsa, o takdirde pek çok
kişinin
kendi
yerel
ağlarında bile göremediği hızlara
normalde WAN
diyebileceğiniz ölçekteki bir network’de ulaşabilirsiniz. Kısaca WAN ve LAN
kavramları oldukça esnek kavramlardır
WAN ve LAN arasındaki farkı açıklamak için kimi zaman kullandığımız diğer bir
kıstas da, operatörlerdir. Bir LAN genellikle, bir ofis ya da birkaç ofis arasında
bir bina içerisinde bulunur. Oysa bir WAN olarak, İstanbul ve Ankara’daki iki
ofisinizi birbirine bir bilgisayar ağı ile bağlamak istediğinizde, Türk Telekom ya
da benzeri bir operatör firmadan arada kullanılacak hatlar alırsınız. Bu durumda
araya ikinci bir operatör, yani sizin yönetimiz dışında bir başka yönetici kuruluş
girer. Bu durumdaki network’lere WAN denilmektedir.
Örneğin, İnternet’e bağlanırken, telefon hatlarını kullanırsınız. Bu durumda,
arada, Türk Telekom’un aslında ses taşımak için kurduğu bir network’ten
İçindekiler
yararlanırsınız. Bu durumda bir WAN kullanıyorsunuz demektir. Kısaca bir ya
da birkaç ağ parçası, aralarında iletişim kurmak istediğinde, farklı bir
operatörün sunduğu bir hizmetten yararlanıyorsa, o takdirde bir WAN kullanıyor demektir.
Bir WAN, birden çok LAN’dan meydana gelebilir. Biraz önce verdiğimiz
örnekteki gibi, İstanbul’da yer alan ve 150 bilgisayardan oluşmuş bir LAN, yani
yerel ağınızı, örneğin bir uydu bağlantısı ile Ankara’da yer alan 100
bilgisayardan oluşmuş bir başka yerel ağınıza, yani LAN’ınıza bağlayabilirsiniz.
Temel Network Bileşenleri
Bir network’ü oluşturmak için, olması gereken olmazsa olmaz tipte bileşenler,
bu bölümün konusu olacak. Temel network bileşenleri, bir bilgisayarı basit
de olsa bir ağa bağlamak için gerekli olan temel cihazlardır. Biz bu bölümde,
sadece çok temel ve basit olan network arabirim kartları, network kabloları ve
kablosuz iletişim cihazlarını ele alacağız. Oysa günümüzde, temel network
cihazı olarak kullanılan ve bu saydığımız cihazlar arasında yer almayan cihazlar
da bulunuyor. Bu cihazları başka bir bölümde ele alacağız.
Network Adaptörleri
Bir bilgisayarın, temel yapıdaki bir network’e bağlanması için gereklidir. Pek
çok yerde Ethernet kartı ismiyle de anılsa, doğru ismi NIC (Network
Interface Card – Network Adaptörü) şeklindedir. Microsoft, tüm sınavlarında,
bu cihaza NIC ya da Network Interface Card olarak bahseder. Bu sebepten
dolayı bundan böyle bizde NIC terimini kullanacağız.
14
15
Network adaptörleri, elektrik sinyallerinin bir kabloya taşınmasını sağlar.
Yani, ham hale getirilmiş verilerinizin, elektrik sinyallerine getirilmesinden ve
veri paketlerinin, belki binlerce bilgisayarda oluşan bir ağ içinde, doğru
network kartına gitmesinden sorumludur. Bu durumda, network kartlarının da
pek çok görevi ve uyması gereken onlarca protokol olduğu sonucu çıkar.
Bir network kartı, bilgisayarınızın genişleme yuvalarından (slot) birine takılır.
Bu bir dizüstü bilgisayarda PCMCIA yuvası ya da bir masaüstü bilgisayarda bir
PCI yuvası olabilir. USB ya da benzeri arabirimlere de takılan pek çok network
adaptörü vardır. Kısaca network adaptörünün belirli bir şekli ve tipi yoktur.
Bir bilgisayar üzerindeki, Windows’a benzer bir işletim sistemi, aktarılması
gereken
bilgileri,
üzerinde
taşıdığı
herhangi
bir
network
adaptörüne
aktardığında, network adaptörünün ilk yaptığı iş bu verileri, veri paketlerine
bölmektir. Veriler parçalara bölünür. Daha sonra bu verilerin başına ağ
üzerinde hangi noktaya ulaşacağına ve nasıl taşınacağına dair veriler eklenir.
Paketlerin başı ve sonuna “bu paketin başıdır” ve “bu veri paketinin sonudur”
gibi etiketler eklenir. Bu işlem her bölünmüş veri paketi için yapılır ve sonuç
olarak, bu veri paketleri sadece 1’ler ve 0’lardan oluşmaktadır. Veri paketleri,
birbiri ardına yazılmış, milyonlarca 1 ve 0 içinde hayali olarak yaratılmış
bölümlerdir.
Her paketin başında header isimli ve bir önceki paragrafta belirttiğimize yakın
bilgiler taşıyan bir kısım yer alır ve her header içinde de o veri paketinin
nereye gideceği ve nereden geldiğine dair veriler yer alır.
İçindekiler
Bir NIC’ye yani network adaptörüne, onun almaması gereken milyonlarca veri
paketi ulaşır. Network adaptörleri, bu paketlerin başındaki header kısmına bakarak, o paketin kendisi için gönderilmiş olup olmadığını anlarlar. Eğer paketin
başında yer alan header kısmında, kendi adresi varsa, o paketi alır ve
bilgisayarda değerlendirmek üzere işleme sokar. Her network kartı, üzerinde
MAC adresi denen bir adres barındırır. Bu adres dünya üzerinde üretilen bir
başka network adaptöründe aynı olamaz. Sadece o adaptöre ya da o network
kartına aittir.
MAC (Media Access Control – Ortam Erişim Kontrol) adresi, bir network’ün
fiziksel yapısı içinde, veri paketlerinin nereye ulaşacağını söyler. Örnek olarak
Ethernet teknolojisini kullanan ağlarda, bir veri paketi, bir bilgisayardan
gönderildiğinde o veri paketinin header’ında, gönderen bilgisayarın ve gideceği
bilgisayarın network adaptörünün MAC adresleri yazmaktadır. Her an, network
adaptörlerinden binlerce veri paketi çıkar. Bazen her birkaç veri paketi artarda
bir komutu ifade eder. Bazen de sadece tek bir veri paketi bir komut ya da bir
sinyal anlamına gelir. Veri paketlerinin içinde, bizim birbirimize gönderdiğimiz
dosyalar, resimler, gibi pek çok veri de taşınmaktadır. Yaklaşık 1 MB’lık bir
verinin aktarılması için iki aynı LAN içinde yer alan bilgisayar arasında, yaklaşık
olarak 8.000 ila 10.000 arasında veri paketi gider.
Bir network adaptörü şu işleri yapar:
Ona gönderilen işlenmiş ve gönderilmek için hazır veriyi, veri paketlerine
çevirir.
16
17
İşletim sisteminin istediği yere, bu veri paketlerinin gitmesi için veri paketlerine
header’lar ekler.
Veri paketlerini alır ve gönderir. Ve bunların doğruluğunu kontrol eder.
Bir network adaptörü, ona gelen veri paketi, bozuksa aynı paketin karşı
bilgisayarın network adaptörü tarafından tekrar gönderilmesi için bir komut
içeren veri paketi hazırlayıp gönderir. Network adaptörleri buna benzer pek
çok iş yaparlar. Bu komutlar ve fonksiyonların hepsi, birer protokolle, nasıl
yapılacağı belirlenmiştir. Bu gibi, network’deki işlemlerin en alt seviyesinde yer
alan işlemlerle, çoğu zaman işletim sistemleri ilgilenmezler. Bu gibi işlemler
doğrudan network adaptörü tarafından yürütülür.
MAC Adresleri
MAC adresleri her bir network adaptöründe ya da diğer yaygın ismiyle
network kartlarında, tektir. Bu adres 48 bit uzunluğunda bir sayı olarak
karşımıza çıkar. Network adaptörleri üzerinde yer alan bir çip içinde yer alırlar
ve sadece o network adaptörüne verilmiş ve başka bir adaptör üzerinde bir eşi
olmayan eşsiz (unique) sayılardır. Kısaca o adaptöre özeldirler. Bu sayılar 48
bit uzunluğundadır ve 12 karakterden oluşurlar. Binary (yani ikili) sayı
sisteminden anlayan okurlar, 48 bit’lik bir sayının 12 karakterden oluşmayacağını zira her bir karakter için 8 bit gerekeceğini düşünecektir. Burada
kullanılan ilkel ASCII karakter kodudur ve her bir karakter için 4 bit kullanılır.
CSMA/CD
CSMA, network adaptörlerinin birbiriyle konuşurken kullandığı bir tür önlem
teknolojisidir. CSMA (Carrier Sense & Multiple Access) ve CD (Collision
Detection – Çarpışma Tespiti), bir network adaptörüne giden veri paketi
trafiğinde bir problem olduğunda bu trafiğin düzenlenmesini sağlayan
Ethernet teknolojileridir. Bu teknolojiler, pek çok veri paketi trafiği sorununu
ele alır.
İçindekiler
CS (Carrier Sense): Bir network kartı tek bir kablo üzerinde gidip gelen veriler
varsa o hatta veri göndereceği zaman kablo üzerinde veri taşınıp taşınmadığını
dinler ve eğer kabloda bir veri trafiği yoksa veri paketlerini yol çıkarır. Bu
durum, tek bir kabloya birden çok adaptörün bağlı olduğu eski tip network
teknolojileri için geliştirilmiştir. Tıpkı trafiğe çıkmak isteyen bir arabanın yolun
boş olup olmadığını kontrol ettikten sonra, yola çıkması gibi, network
adaptörleri de CS teknolojisi sayesinde, kablo boş olduğu takdirde veri
gönderirler.
MA (Multiple Access): Bir network kartına aynı anda birden çok veri paketi
gönderilmişse, o takdirde o adaptör bunlardan hiçbirini almaz. Network’ün
tümüne, “bana gönderdiğiniz veri paketleri aynı anda yola çıktığından dolayı
tekrar gönderilmelidir” anlamına gelen bir mesajı broadcast eder. Bu mesajın
18
19
alınmasından itibaren, karşı network adaptörleri aynı veri paketini tekrar
gönderir.
CD (Collision Detection): Eğer karşılıklı iki network adaptörü, aynı anda iki veri
paketini birbirine gönderirlerse, veri paketleri çarpışacaktır. Bu durumu tespit
eden adaptörler, rasgele bir zaman dilimi kadar bir süre (milisaniyeler
mertebesinde) tekrar aynı paketi network’e çıkarırlar. Bu sayede, çarpışan
paket sinyallerinin, kablolar üzerinde yitirilip gitmesi engellenmiş olur. Bu
çarpışmayı, tek şeritli ve sadece tek yön çalışan bir yolda, karşılıklı iki arabanın
aynı anda yol almak istemesinden doğan kazaya benzetebiliriz.
Sıradan bir kullanıcı, bir ofis ortamında bir network adaptörünü kullanırken,
her saniye binlerce kez bu tür teknolojilerin kullanılmasının gerektiği durumlar
kablolar üzerinde gerçekleşir. Tüm bu veri paketi trafiğine ait problemler,
network adaptörlerinden, router’lara (ilerleyen kısımlarda okuyacağımız bir
başka network cihazı) gibi pek çok network cihazı tarafından kontrol
edilmektedir.
Kablolar
Bir network’ün oluşturulmasında veri taşımak için temel olarak kullanılan araç,
kablolardır. Günümüzde hızla kablosuz iletişim yayılıyor da olsa, kablolar
sağladıkları güvenilir iletişim ve hız nedeniyle tercih edilmektedirler. Temel
olarak bir kablo iki bilgisayarı birbirine bağlamak için kullanılır ve bu temel
yapıya segment ismi verilir. Farklı kablo çeşitleri network kartına takılabilir.
Günümüzde pek çok standart olmasına rağmen, network’ler için kullanılan
standartlar olanları arasında en yaygın olanlar şunlardır:
Coaxial (koaksiyal)
Twisted Pair
Fiber-optik
Koaksiyel Kablolar
Koaksiyel kablolar, bugün neredeyse hiç kullanılmayan bir sınıftır. Koaksiyal
kablolar, eski nesil network adaptörlerine BNC (British Naval Connector) isimli
konnektörler yardımıyla takılırdı.
Bu kabloların yapısı nedeniyle içinde taşınan sinyaller, kablonun sonuna
ulaştığında bir tür yansıma etkisi ile geri dönmekte ve sanki aynı veriler ikinci
kez gönderilmişçesine network’e ulaşmaktaydı. Bu durumu engellemek için
BNC Terminator denilen ve kabloların bitim noktalarına takılan bir tür
İçindekiler
konnektör bulunuyordu. Bu konnektörlerin görevi, kablonun sonuna kadar
ulaşan sinyalin yok edilmesini sağlamaktı. Halen, kimi ofislerde, uzun süreden
beri kullanılan network’lerde, bu tip kablolara rastlamak mümkündür. İki temel
çeşitleri bulunmaktadır. Bunlar: ThinNet (10Base2 standardı) ve ThickNet
(10Base5 standardı) olarak karşımıza çıkar.
Koaksiyal kabloların en büyük avantajı, diğer kablolara göre daha uzun
mesafeye veriyi güvenle aktarabilmeleridir. Bir ThinNet kablo yaklaşık 185
metre, bir ThickNet kablo ise yaklaşık 500 metre mesafeye veriyi güvenle
taşıyabilir.
Twisted Pair
Twisted Pair isimli kablo sınıfı ise bugün yaygın olarak kullanılmaktadır. RJ45 konnektörü ile kullanımı oldukça kolay bir kablo standardıdır.
Twisted Pair kablolar yaygın olarak kullanılan ve Ethernet kabloları olarak da
piyasada bulunabilen kablolardır. STP ve UTP olmak üzere iki çeşidi
bulunuyor:
STP (Shielded Twisted Pair – Yalıtılmış Twisted Pair), kablonun dış kısmında
bir tür yalıtım maddesi taşır. Bu sayede dışarıdan gelebilecek ve taşınan
20
21
sinyalleri bozabilecek olan elektromanyetik dalgalardan en az şekilde etkilenir.
Bu kablolar, 100 metre kadar bir mesafede veriyi güvenle taşıyabilir.
Diğer yandan, UTP (Unshielded Twisted Pair – Yalıtılmamış Twisted Pair)
kablolar, bu tip bir zırh ya da yalıtım taşımazlar. Bu sebeple veriyi güvenle
iletebilecekleri mesafe 60 metreye düşmüştür.
UTP tipi kablolar, Amerika’daki EIA/TIA’ya göre (Electronic Industries
Association and the Telecommunication Industries Association – Elektronik ve
İletişim Endüstrisi Birliği) beş kategoriye ayrılmıştır. Bu kategoriler arasında
kabloda kullanılacak malzeme ve kalınlık itibariyle farklılıklar vardır. Ayrıca her
kategorideki bakır kablo çiftinin sayısı da birbirini tutmaz.
Category 1: UTP’nin telefon kablosu standardıdır. Yalnızca ses taşımak için
kullanılır. İnternet halen bu basit kablolar üzerinde hayatını sürdürüyor.
Category 2: Bu kategori 4 Mbps’lik (Megabyte/saniye) bir hızda veri iletebilir.
Kablonun merkezinde iki çift iletken bakır tel vardır.
Category 3: 10 Mbps’lik hızda veri taşıyabilir. Dört adet bakır telden oluşur.
Category 4: 16 Mbps’lik hızda veri taşımaya yönelik yapılmıştır. Dört iletken
telden oluşur.
Category 5: 100 Mbps’lik bir hıza ulaşabilir. Oldukça esnek ve ucuzdur.
Category 5e: 1000 Mbps’lik bir hıza ulaşabilir.
Category 6: 1000 Mbps’lik bir hıza ulaşabilir. Oldukça kalitelidir.
İçindekiler
Bugün ofis ya da yerel ağlarda kullandığımız kabloların %90’ını Category 5
UTP kabloları oluşturur. Bir network’te farklı hızda konuşan network kartları
(network adaptörleri) ve farklı hızda veri taşıyabilen kablolar kullanıldığında,
iletişimin bozulma riski artar. Bunun iki sebebi vardır: Birincisi, uzayan kablo
boyuyla zayıflayan elektrik sinyalleri, ikincisi de kullanılan kablo boyunca
oluşabilecek elektromanyetik parazitlerin sinyali bozma olasılığıdır. Hıza bağlı
olarak kullanılan sinyal ve protokollerin içeriği değişebilir. Örneğin sadece 10
Mbps’lik veri aktarımı yapabilen bir network kartı, 100 Mbps’lik veri aktarılan
bir network’de yetersiz kalabilir ve uyumsuzluk sorunlarına neden olabilir.
Fiber-Optik Kablolar
Üçüncü tip kablo olan fiber-optik kablolar ise veriyi aktarmak için bakır
teller ve elektrik sinyali kullanmazlar. Bu tip kabloda veriyi oluşturan 1 ve 0’lar,
ışık sinyali olarak aktarılırlar. Sinyal, bir ışık demeti olarak iletildiğinden dolayı,
veri elektromanyetik alanlardan etkilenmez ya da kablo boyunca zayıflamaz.
Bu tip kablolarda oldukça uzun mesafelere, son derece yüksek hızla veri
aktarımı yapmak mümkün hale gelmiştir. Bugün deneysel olarak saniyede 1
Terabit’lik veri hızlarına ulaşılabilmekte. Genelde bu tip kablolar çok fazla
bükülmediklerinde ve ek yapılmadan yaklaşık 100 km’ye kadar veriyi güvenle
taşıyabilirler. Avrupa network’lerini okyanus altından Amerika’ya bağlayan fiberoptik kabloları buna örnek olarak gösterebiliriz.
OSI Referans Modeli
22
23
Veriler küçük paketler halinde gönderilirken her paketin oluşturulması için
yapılması gereken onlarca işlem vardır. Örneğin biz verilerimizin başkaları
tarafından
okunamamasını
istiyorsak,
paketleri
içeriğini
ancak
bizim
anlayabileceğimiz şekilde şifrelemiş olabiliriz. Bu türde bir paket bir network
kablosundan, bilgisayarımıza ulaştığında, öncelikle ham elektrik sinyalleri
olarak gelen verilerin bizim için gönderilip gönderilmediği kontrol edilecek,
eğer ulaşan paket bize ait ise o takdirde verinin içeriğinin okunabilmesi için bu
sefer de içindeki şifrenin çözülmesi gerekecektir. Bu sırada paketin içindeki
bilginin hangi tip bir protokolle okunabileceğini belirlemek gerekir. Daha sonra
şifre çözülecek ve bu veri paketinin o an çalışan hangi pakete gitmesi gerektiği
gibi kararlar verilecektir.
Bir veri paketi, network’ten bilgisayarımıza gelirken bile onlarca işlemden
geçmesi gerekir. Bu işlemlerin hepsinin bir sırası vardır ve pek çoğunun yerine
getirilmesi gereken yer farklıdır. Bir veri paketi bilgisayarımıza ulaştığı andan
itibaren, ekranımızda bir veri olarak gözükünceye ya da bizim işlemlerimizi
etkileyecek bir komut olduğu anlaşılıncaya kadar uzun bir yol kat eder.
Örneğin bir veri paketinin elektriksel sinyalizasyonunun doğru olup olmadığı
daha network kartında kontrol edilecektir. Ama bir veri paketinin, bize gelen
bir e-postanın bir parçası olup olmadığı ya da bağlanmak istediğimiz bir Web
sitesindeki bir resim dosyasının bir kısmı olup olmadığı, işletim sisteminin
çeşitli kısımlarında karar verilen bir olgudur.
Bu uzun yolculukta tahmin edebileceğiniz gibi, pek çok protokol görev alır. Bu
protokollerin bir çalışma sırası ve her birinin özellikle rol oynadığı görevler
bulunuyor. Örneğin birkaç protokol birlikte çalışarak bir veri paketini şifresini
çözerken, bir başka seviyede veri paketlerinin hangi programa (Internet
Explorer, Outlook, FTP programı vb.) ait olduğuna karar veriliyordur.
Bu işlemler seviyelere ayrılmıştır. Örneğin bir veri paketinin (şifrelenmişse)
şifresi çözüldükten sonra, nereden geldiğinin bulunması ya da başka bir işlem
için bir başka bileşene verilmesi öngörülmüştür.
Birbiri ardına sürdürülen bu işlemler sırasında uyulması gereken kuralları ortaya
koymak ve veri paketlerinin kablodan bilgisayarımıza ulaşmasını marka ve
sistem bağımsız bir hale getirerek, herkese açık bir haberleşme altyapısı
kurabilmek için hazırlanmış kurallara OSI referans modeli denir. Bu modelin
amacı, her üreticinin ürettiği network kartından hub’a, router’a, Windows’tan
Unix’e, Macintosh’a tüm cihaz, sistem ve yazılımların ortak kurallar kullanarak
İçindekiler
network üzerinden haberleşmelerini sağlamaktır. Böylece şu anda kullandığımız
İnternet
network’ü
gibi
her
sisteme,
markaya
açık
network’ler
geliştirilebilir.Bunu dünyanın her yanında aynı olan trafik kurallarına ya da bir
ara tüm dünyadaki insanların birbiriyle rahatça konuşulması için geliştirilmiş
ama kullanım alanı bulamamış Esperanto dili projesine benzetebiliriz.
OSI modeli, 1984 yılında ISO (International Standards Organization –
Uluslararası Standartlar Organizasyonu) tarafından oluşturulmuş bir modeldir.
Hangi network protokolünün hangi kurallara bağlı olarak çalışacağının
kurallarını koymak için, iki network bileşeni arasında yapılan bilgisayar
haberleşmesini, sanal olarak her birinde farklı görevler tanımlanan ve sırayla
her bileşenin kendi görevini yerine getirdiğinde bir haberleşme doğuran 7
seviyeli (katmanlı) bir çalışma sekline benzetir.
Böylece OSI (Open Systems Interconnection) referans modeli, sistemlerin
farklı protokollerle konuşsalar bile birbirlerinden haberdar olmalarını ve
verilerinden anlamalarını sağlar.
OSI ve Çalışma Prensibi
Daha önce OSI katmanlarının var olduğunu ve her katmanda bir kısım farklı
işler yapıldığını söylemiştik. Her katman, verinin bir üst ya da alt katmanda ele
alınabilecek hale getirilmesi sağlanır. Bu veriler bilgisayara ulaştıkça, her
24
25
katmanda işlem görerek bir üst katmana çıkarılırlar. Üst katmanda da, veri
paketinin taşıdığı veriler ve bilgiler değerlendirilmeye devam edilir.
Aynı durum bir veri network’e gönderilecekse de olur. Örneğin bir arkadaşınıza
göndereceğini e-posta mesajı, önce en üst seviyede bir e-posta olarak
biçimlenir. Daha sonra SMTP protokolleri içerisinde hangi e-posta adresine
gideceğine dair bilgi, içindeki metin ya da eklediğiniz bir dosyaya ait şekilformat bilgisi, önem ve e-postanın açılacağı yerde uyulacak protokollerin ne
olacağına dair bilgiler yazılır. Ve bir alt seviyeye geçirilir. Bu seviyede, veri
hangi yolla gönderileceği, ya da hangi protokolle işleneceği gibi konulara karar
verilir. Bu şekilde katmanlar arasında ilerleyerek, göndereceğiniz bilgi ham
veriye, yani 1’ler ve 0’lar haline dönüştürülür.
OSI referans modeli, 7 katmandan oluşmaktadır. Uzun süreden beri
katman (layer) şeklinde tabir ettiğimiz bu modelin nerede ya da nasıl var
olduğunu merak edebilirsiniz. OSI modeli, tamamen kavramsal bir yapıdır.
Örneğin 1. katmanda yapılan işlemlerin bir kısmı network kartında, diğer bir
kısmı da işletim sisteminizin bir kısmında yürütülüyor olabilir. Ya da başka bir
katmandaki işlerin tamamı, işletim sisteminizde çalışan bir program tarafından
yürütülüyor olabilir. Sonuçta OSI kavramsal bir şablondur. Bir verinin nasıl ele
İçindekiler
alınacağını ve bu işlemlerin sırasını belirler. İşlem sırasında hangi protokolün
nerede görev alacağını da tanımlar. Aynı anda bir veri üzerinde onlarca
protokolün gerektirdiği işlemlerin yapıldığını düşünün. Böyle bir düzensizlikte,
oluşacak karışıklığın içinden çıkmak çok zor olurdu.
OSI katmanlarının her birinin farklı bir ya da birkaç noktada olabileceğini
söylemiş ve bu konuda bazı örnekler vermiş olduk. OSI katmanlarının her biri
sadece protokollerin nelere müdahale edeceğini söyleyen ve protokol
yapılarını gösteren bir modeldir. Bu katmanların neler olduğu anlaşıldıkça OSI
modelini daha iyi kavrayabiliriz.
26
27
OSI Katmanları
OSI katmanlarını anlatmaya en üst seviyeden, Katman 7’den başlayacağız. Bu
seviyede günlük olarak kullandığımız, Outlook, MSN Messenger ya da Internet
Explorer gibi yazılımlar olabileceği gibi, bir DHCP (Dynamic Host Configuration
Protocol) Server ya da RRAS (Routing and Remote Access Service) Server gibi
hizmetler ya da yazılımlar da çalışıyor olabilir. Katmanların içeriği anlatılırken,
bir verinin bu yazılımlardan birinden network kablosuna gitmek için ne tür
işlemlerden geçmesinin gerektiğine dair işlemlerin anlatıldığını unutmamaya
çalışın. Bu şekilde, çok daha kolay bir şekilde OSI modelini kavramaya
yaklaşacaksınız.
Uygulama Katmanı – Katman 7 (Application Layer - Layer 7): En üstteki
katmandır. Bu katman kullanıcıların kullandığı yazılımlar için, ağa ulaşmak
adına ilk servisleri sağlar. Ağ üzerinde kullanacağınız bir muhasebe yazılımı, ilk
önce bu katmana ulaşmalıdır (yani yazılımların bu katmandaki işleri yapan
bileşenlerine ulaşarak isteğini bildirmelidir). Örneğin e-posta, dosya transferi
ve veritabanı kullanımı bu katmandaki servisler ve uygulamalarla olur.
İçindekiler
Sunum Katmanı – Katman 6 (Presentation Layer – Layer 6): Diğer
bilgisayarla alınıp verilecek olan verinin formatı üzerinde karar verir. Bu
seviye, her tür bilgisayarda uygulama katmanından gelen bilgileri ortak
anlaşılan bir dile çevirir. Sunum katmanı, protokollerin birbirine çevrilmesi,
karakterlerin ortak karakter diline (ASCII) çevrilmesi, grafik komutlarının
çalıştırılmasından sorumludur. Bu katman, ayrıca verilerin sıkıştırılmasından da
sorumlu katmandır. Genelde, bu katmanda kullanılan sıkıştırma metotlarının çoğu Hoffman kodlama sistemine dayanır.
Oturum Katmanı – Katman 5 (Session Layer – Layer 5): Bu katman iletim
işleminin başlatılıp, bitirilmesi için gerekli sinyalleri üretir. Örneğin siz bir eposta göndermek istediğinizde, veri katman 7’den katman 6’ya geçer ve
burada gönderileceği protokole uygun hale getirilir. Fakat gönderme işlemi
ancak bu veri katman 5’e geldiğinde, katman 5’in çalışmasından sonra başlar.
Gelen veriyle birlikte, katman bir iletişim kurmak için ilk sinyalleri göndermeye
başlar. Bu nedenle bu katmana, hukuk davalarındaki oturum (session) tabiriyle aynı isim verilmiştir. Bu katman, iletişimin senkronizasyonundan da
sorumludur.
İletim Katmanı – Katman 4 (Transport Layer – Layer 4): İletim katmanı,
oturum katmanının altında fazladan bir bağlantı katmanı sağlar. İletim
katmanı, veri paketlerinin hatasız gönderilmesinden sorumludur. Bu katmanda
gönderilen son paketler bir tamponda (önbellekte) tutulur. Eğer veri paketi
doğru şekilde yerine ulaşmamışsa, aynı paket birkaç kez daha gönderilir. Aynı
şekilde, bu katman karşı bilgisayardan aldığı verileri doğru almışsa, karşı
bilgisayara onay sinyali göndermekle sorumludur. Onay sinyalini alan karşı ağ
bilgisayarı, sıradaki veriyi göndermeye başlayabilir.
Ağ Katmanı – Katman 3 (Network Layer – Layer 3): İletim katmanından
gelen verilerin doğru adreslere gitmesi için gerekli adreslerin ayarlanmasında
ve ağdaki trafiğin minimumda tutulacağı şekilde verilerin gönderilmesinden
sorumludur. Bu katman, veri paketine nereye gitmesinin gerektiğini gösteren
etiketler ekler. Bu etiketler, tabii ki 1 ve 0’lar şeklindedir (bu veri paketlerinin
yapısını ve etiketlerin veri paketlerine eklenmesi konusunu daha sonra
inceleyeceğiz).
Veri Bağlantı Katmanı – Katman 2 (Data Link Layer – Layer 2): Bu
katman, veri paketlerini katman 3’ten katman 1’e iletir. İletirken, veri
paketlerine boş bit’ler, 1 ve 0’lar ekler. Bu sayede, bu veriler belli bir standart
uzunluğa ulaşmış olurlar. Örneğin katman 3’den gelen veri paketleri 8 ya da
28
29
40 bit arasında uzunluğa sahiptir. Katman 2 bunları 64 bit’e ya da belli bir
uzunluğa tamamlar. Ayrıca bu katman iletilen ve alınan veri paketlerinin doğru
bir şekilde inşa edilip edilmediğini kontrol eder. Bir hata bulduğunda düzeltir
ya da verinin tekrar gönderilmesini ister.
Fiziksel Katman – Katman 1 (Physical Layer – Layer 1): Bu katman, ağ
kablolarının ve ağ kartlarının verilerini elektrik sinyallerine çevirmek için
kullanılan bileşenleri temsil eder. Yani, bu katmanda yer alan cihaz ve
programlar, yalnızca verilerin üst katmanlarda hazırlanmış ham veriyi (0 ve
1’ler), elektrik sinyali olarak göndermekle sorumludur. Eğer gerilim veya
akımda bir problem olursa ya da kablo yerinden çıkmışsa, veri aktarımını durdurur. Her elektrik sinyalinin ne kadar süre ya da verilerin hangi veri aktarım
teknolojisiyle aktarılacağını belirler. Bu seviye ise kamyonun üzerinde gittiği
yol olarak düşünülebilir. Nasıl karayolu üzerinde trafik kuralları varsa, bu
seviyede de iletişimin nasıl sağlanacağına ilişkin kurallar bulunmaktadır.
OSI modeli, verinin paketlenmesi, gönderilmesi ve alınması için belirgin
katmanlar oluşturmuş olur. Bir katmanda birbirine benzeyen ya da ilişkili
protokollerin birlikte yer aldığını söylemiştik. Her katmanda yer alan, katmana
göre özelleşmiş protokoller protokol yığını (protocol stack) adını alırlar. Bu
noktada önemli olan husus, bazı protokol yığınlarının artık standart olarak
kabul edilmesidir. Örneğin, TCP/IP, IPX/SPX ya da AppleTalk gibi daha önce
de isimlerinden bahis ettiğimiz protokol yığınları, bu tip bir yapı içinde standart
haline gelmiş yığınlardır. Her katmanda bu protokol yığınlarının bir kısmı
çalışır.
İçindekiler
Network’ü Genişletmek
Şu
ana
kadar
ağımızı
oluşturan
bileşenlerin
temel
bazı
donanım
standartlarından çıktığını gördük. Sizlerle temel network bileşenleri altında
tartıştığımız, network kartları ya da Coaxial-Twisted Pair kablolar gibi yapıların
aslında büyük bir standartlar topluluğu olan Ethernet’in bir parçası olduğunu
da aktarmaya çalıştık. Bu parçaları, Ethernet standardını tanıtmadan önce
tartışmamızın nedeni ise bir network’ü oluşturan temel donanımlar hakkında bir
fikir vermekti. “Network’ü Genişletmek” başlıklı bu kısım altında ise,
network’lerin daha geniş boyutlarda var edilebilmelerini sağlayan ATM, bir
kısım
Ethernet
ve benzeri teknolojilerde
kullanılan
diğer
donanımları
anlatacağız. Örneğin, bu bölümün ilerleyen kısımlarında daha da geniş olarak
tartışacağımız, switch isimli cihaz, ATM, Token Ring, Ethernet gibi veri aktarım
teknolojilerinin hepsinde kullanılmaktadır.
Bir ATM network’ü için kullandığımız bir switch’i bir Ethernet network’ü için
kullanılamaz; fakat her iki tipteki veri aktarım teknolojisinde de bu cihazların
30
31
yerine getirdiği görev aynıdır. Her iki veri aktarım teknolojisi için aynı görevi
yerine getirirler. Bu nedenle de bu cihazlara genel bir isim verilerek, switch
başlığı altında incelenecektir. Bu durumda burada anlatılan cihazların, network
kartı ya da anlattığımız kablolar standartları gibi, tek bir standardın (Ethernet’in) içinde yer almadığına dikkat çekmek istiyoruz. Aksine, hub, switch
ya da benzeri cihazların hepsi ATM, Ethernet, FDDI ya da Token Ring gibi
standartların en az ikisinde kullanılmaktadır.
Şu ana kadar bu bölümün içinde ağırlıklı olarak bir network’ün fiziksel yapısını,
fiziksel yapı içinde donanımların nasıl ele alındığını aktarmaya çalışıyoruz.
Bundan sonraki bölüm içerisinde, bu donanım teknolojileri üzerinde gidip
gelen
verilerin
düzenlenmesi
ve
verilerin
biçimlendirilmesini
sağlayan
yazılımsal kısmına bakacağız. Ancak, bundan sonraki bölümlerde ele
alacağımız yazılımsal özelliklerin de, kimi zaman, bu tip temel teknolojilere
göre biçimlendirildiğini işleyeceğiz. Örneğin bir router’ın bir TCP/IP protokolü
içinde oldukça farklı bir görevi bulunur ve TCP/IP üzerinde router’lara göre
ayarlamalar yapılması gerekebilir. Diğer yandan hub gibi bir cihaz için
herhangi bir protokolde bu tür bir ayar gerekmemektedir. Bu tür küçük ama
can alıcı detayların farkında olarak ilerleyen bölümleri okumanız, azami faydayı
sağlayacaktır.
Bu kısımda şu konuları inceleyeceğiz:
Aktif ve pasif hub’lar
Switch’ler
Router’lar
Gateway
Hub’lar
Hub’lar birden fazla bilgisayarın birbirine bağlamanın en ucuz yollarından
biridir. Hub merkezde yer alan bir cihazdır ve Star topolojisini oluşturan
merkezi bir cihaz olarak kullanılır. Hub’ların görevleri, onlara iletilen bir veri
paketini, ona bağlı diğer tüm cihazlara iletmektir. Kısaca ona bağlı olan bir
bilgisayar, hub üzerinde yer alan bir başka bilgisayara herhangi bir veri
göndermek istediğinden, bu veri diğer bilgisayarların tümüne gönderilmekte-
İçindekiler
dir. Bugün Hub’lar 4-8-16-32 port’lu olarak yaygın olarak bulunup satın
alınabilir. Her bir port’una bir bilgisayardan gelen bir kablo ya da başka bir
cihaza (bir başka hub ya da switch gibi) giden bir kablo bağlamak
mümkündür.
Hub’ların iki farklı tipi bulunmaktadır. Bunlar pasif ve aktif hub’lar olarak
adlandırılırlar. Aktif hub’lar onlara gönderilen veri sinyallerini, güçlendirirler.
Zira kablo boyunca, yol alan veri sinyalleri, kabloların direnç göstermesi
nedeniyle zayıflarlar.
Daha önce de belirtildiği üzere, normalde bu işlemi yapan cihazlara repeater
ismi verilmektedir. Ama bugün piyasada satılan hub ya da switch’lerin hemen
hemen
hepsi,
repeater
özelliğine
sahiptir.
Repeater’ların
günümüz
network’lerinde kilometrelerce öteye veri taşındığı takdirde kullanılması daha
rağbet gören bir seçimdir. Pasif hub’lar ise, aktif hub’ların aksine herhangi
bir güçlendirme (amplifikasyon) işlemi yapmaz.
10/100/1000 Mbps’lik hub’lar piyasada bulunabilmektedir ve üzerlerindeki esnek
kablolama seçenekleri nedeniyle küçük network’lerin kurulması sırasında oldukça
rağbet edilen cihazlardır.
Hub’ların en büyük dezavantajı ise performans konusunda eksikliğe sahip
olmalarıdır. Zira bir hub’a gelen bir veri sadece, A bilgisayarından B
bilgisayarına gidecekken, bu veri paketi tüm bilgisayarlara gönderilir. Bu
nedenle de o anda diğer bağlı bilgisayarlar onlara ait olmayan bir paketle
uğraşmak zorunda kalırlar. Ve de kendilerine ait olan veriyolu boş yere meşgul
edilmiş olur.
Aynı zamanda Hub’lı ortamlar çarpışmaların (Collision) olduğu bir ortamdır.
Aynı anda ortamdaki bilgisayarlardan iki ya da daha fazlası bir bilgi
göndermeye çalışırsa paketler çarpışır ve bozulurlar.
32
33
Switch
Switch’ler, hub’lara benzer bir görev yapmalarına rağmen çok daha yüksek bir
performans sağlarlar. Switch’ler, bir topolojinin merkezinde yer alırlar ve
onlara gönderilen verileri, bağlı olan bilgisayarlardan birini gönderirler.
Switch’lerin hub’larla farkı ise, switch’lerin veri paketlerini, ona bağlı olan iki
bilgisayar arasında doğrudan iletebilmesidir. Hub’lar, swicth’lerin aksine A
bilgisayarından B bilgisayarına gidecek olan veri paketini, tüm bilgisayarlara
gönderirken, switch’ler A bilgisayarından B bilgisayarına doğrudan paketi taşır.
Hub’lara bağlı olan bilgisayarlardaki network kartları, onlara ulaşan bu veri
paketlerine bakıp, onlara mı gönderildiğini tespit etmek zorundadır. Bunu
yapabilmek için paketlerin başında yer alan kartların fiziksel adreslerine
bakarlar. Örneğin, A bilgisayarının MAC adresi bellidir ve ona gönderilmiş olan
tüm veri paketlerinin header kısmında A bilgisayarının MAC adresi, paketin
ulaşacağı adres olarak belirtilmiştir. Eğer bir network kartı bu tip bir paketi aldığında, kendi adresinin paketin ulaştırılması gereken yerdeki MAC adresiyle
aynı olmadığını fark ederse, paketi yok eder. Bu işleme drop etme de
denilmektedir.
İçindekiler
Switch’ler ise veri paketlerinin başında yer alan kısımlara bakarak, onları
ulaşmaları gereken bilgisayarın bağlı bulunduğu port’a gönderir. Elbette bunu
yapabilmesi için hangi port’ta hangi bilgisayarın bağlı olduğunu bilmesi
gerekir. Örneğin A bilgisayarı 16. port’ta ise ve bunun MAC adresi biliniyorsa,
gelen bu MAC adresine gelen veri paketi doğrudan 16. port’a gönderilir.
Switch
içinde,
hangi
port’ta
hangi
MAC
adresine
sahip
bilgisayarın
bulunduğunu belirten bir tablo, switch içindeki çiplerde tutulmaktadır.
Fakat bir switch ilk kez çalıştırıldığında, hangi port’unda hangi MAC adresini
taşıyan bilgisayarın bulunduğunu bilemez. Switch, bir süre hub gibi çalışarak
bir tür öğrenme sürecine girer. Bir bilgisayardan gelen paketi diğer tüm
bilgisayarlara (sadece ilk anda) gönderir. Örneğin MAC adresi Y olan bir
bilgisayara gitmesi gereken bir veri paketi tüm port’lara gönderilir. Bu
durumda hangi port’tan bu paketin alındığına dair bir mesaj geliyorsa, bu
port’un MAC Y adresine sahip olan bilgisayara ait olduğu anlaşılır. Bu bilgi
switch içindeki çiplerde tutulmaya başlanır. Yavaş yavaş hangi port’ta hangi
bilgisayarın olduğu ve bu bilgisayarların üzerindeki network kartlarının MAC
adresleri listelenmiş olur. Switch’in ilk anda yaptığı bu işleme flood adı
verilmektedir.
En fazla birkaç saniye süren flood sürecinden sonra, switch veri paketlerini
doğrudan gitmeleri gereken yere gönderir. Bu nedenle de switch’ler network
üzerindeki veri aktarım performansı açısından, hub’lardan daha iyidir.
34
35
Switch’ler ve hub’lar elbette kullanıldıkları veri aktarım teknolojisine göre
(ATM, Token Ring, vb.) bu fonksiyonları farklı şekilde yerine getirebilirler.
Fakat, temelde switch’ler ve hub’lar star topolojisinin merkezinde duran
cihazlardır.
Router
Günümüzde router’ları tanımlamak oldukça zor bir iş. Zira kimi router’lar sadece
veri paketlerine değil, bir video konferans aktarıma bile karışıp, video konferansa
ait gidip gelen verileri düzenleyecek yeteneklere sahiptir. Kısaca router’lar,
günümüzde basit bir switch gibi çalışabildiği gibi, bir bilgisayarın müdahale
edemeyeceği kadar gelişmiş görevleri de yerine getirebilirler.
Router’ların temel görevi ise farklı network segmentleri arasında, veriyi
taşımaktır. Bir router, üzerinde taşıdığı routing table denilen bir tablo
sayesinde, bağlı olduğu herhangi bir segment üzerindeki tüm adresleri bilir.
Router’ın bir tarafında bir ATM WAN’ı ve diğer bir tarafında da bir ofis içi
Ethernet LAN’ı olabilir. Kısaca router iki farklı network yapısını ya da iki farklı
network segmentini birleştirmek için kullanılır.
Router’lar network performansını maksimum düzeye çıkarırlar. Bir network’ten
bir başka tip network’e hangi verilerin gidip hangilerinin gitmeyeceğine karar
verirler. Örneğin bir router, ofis içinde kurduğunuz bir network’teki boş veri
paketlerinin Token Ring ya da ATM gibi bir WAN network’üne çıkmasını
engeller. Bir router, bir veri paketinin gitmesi gereken en kısa yoldan gitmesini
sağlar. Zira üzerinde bulunan routing tablosu en kısa yolun çizilmesi için
İçindekiler
kullanılabilir. Aynı tabloya hangi tip paketlerin bir network segmentinden bir
diğerine geçirileceği gibi bilgiler de taşımaktadır.
Router’lar sadece üzerlerinde tam bir adres olan veri paketlerinin iletilmesini
sağlar. Bazı durumlarda paketin tüm network’teki bilgisayarlara ulaşması için,
bilgisayarlar, header’ında bir adres olmayan veri paketleri atarlar. Bu tip veri
paketlerinin kısıtlı bir bant genişliğine sahip WAN’a çıkması, router tarafından
engellenir. Router’lar, farklı veri aktarım teknolojisi kullanan network’leri (ATM,
Ethernet, gibi..) birleştirebilirler.
Kısaca router’lar üzerlerindeki routing tablosu sayesinde bir network trafiğini
düzenlerler. Router’ların asıl görevi farklı network segment’lerini birbiriyle
buluşturmaktır. Bu noktada segment kavramına biraz daha açıklık getirelim.
Bir sonraki bölümde göreceğimiz ve bugün dünyanın en yaygın protokolü olan
TCP/IP’de aynı tipte IP adresleri kullanıp, farklı subnet’lerde olan iki network
bulunabilir.
36
37
Buna şöyle bir örnek verelim: Farklı iki ilçede bulunan ama aynı isimli iki
sokak düşünün. Her iki sokağın isimleri örneğimizde aynı IP adresini (MAC
adresi değil) belirtsin. Farklı iki ilçe ise farklı iki subnet olarak kabul edelim.
TCP/IP içerisinde, bir bilgisayarın binlerce bilgisayar arasında nerede olduğunu
göstermek için bir IP adresine bir de subnet’e ihtiyaç duymaktayız. Tıpkı koca
bir şehir içinde bir sokağı tarif ederken kullandığımız ilçe ve sokak ismi gibi. Bu
noktada dikkat etmemiz gereken nokta, aynı anda aynı isme sahip olan iki IP
adresinin, farklı iki subnet’te bulunması nedeniyle karıştırılmamasıdır. Fakat
sadece swicth ve hub’lardan oluşan iki farklı subnet’e sahip network birbiriyle
konuşamaz diğer bir deyişle problemler oluşmaya başlar. Bu problemlerin ne
olduğunu daha sonraki bölümde geniş bir biçimde ele alacağız. Bunun engellenmesi için iki network subnet’i arasında bir router konulur. Ve router, yine
üzerindeki tabloyu ve ayarları takip ederek, bir subnet’ten diğer subnet’e
hangi veri paketlerinin geçirilmesi gerektiğini ayırt eder. Tüm İnternet’in alt
yapısı bu şekilde çalışmaktadır.
İnternet onlarca subnet’ten oluşur ve bu subnet’lerin içinde binlerce bilgisayar
bulunur. İnternet’i büyük bir ülke gibi düşünürsek; İnternet’teki her bir subnet
sınıfı bir şehri; her subnet sınıfı içindeki değişik subnet’ler ilçeleri; her subnet
içindeki IP adresleri de sokak ya da caddeleri belirttiğini düşünebiliriz. Bu
sınıflar ve lokasyonlar hiyerarşisi altındaki ayırım router’lar sayesinde
İçindekiler
yapılmaktadır. Bu sebeple bir router’lar pek çok farklı görev ya da ayar taşıyor
olabilir. Bu noktada TCP/IP protokolünden bahsetmiş olmamızın nedeni ise
İnternet’in temel protokolünün TCP/IP oluşudur.
Gateway
Gateway’ler, router’ların yaptığı ve farklı teknolojiler arasında gidip gelen veri
paketlerinin dönüştürülmesi işlemini gerçekleştirirler. Router’ların ana görevi
farklı segmentteki network’leri ayırmak ve yönetmektir. Ama “Router” başlığı
altında da değindiğimiz gibi, bazı router’lar bu temel görev tanımını aşarak,
ATM ve Ethernet arasında verileri dönüştürme işlemini de gerçekleştirebilir.
Fakat esas olarak bu görev gateway denilen cihazlara verilmiştir. Gateway,
genellikle adanmış bir aygıt veya adanmış bir bilgisayar üzerinde çalışan bir grup
servistir. Gateway’ler örneğin FDDI network’ünden gelen paketleri alır,
gidecekleri bilgisayarın adres bilgisini koruyarak, Ethernet network’ünde yol
alabilecek şekilde yeniden oluşturur ve bunu bir Ethernet network’üne
gönderebilir. Bu işlem çok basit gibi gözükse de, iki network’de kullanılan
paket yapıları, adresler ve adres yolları çok iyi bilinmek zorundadır.
Gateway’ler bu işlem için özelleştirilmiş cihazlardır. Bu sebeple de bu
fonksiyon için router’lara göre bir sınıf üstün sayılırlar. Zira router’ların asıl
görevleri arasında farklı aktarım teknolojilerini birleştirmek hedeflenmez. Eğer
aktarım teknolojisi açısından mimari bir farklılık varsa ve farklı fiziksel
protokoller kullanılıyorsa, Gateway’ler kullanılmalıdır.
38
39
IP ADRESLEME
IP Adreslemenin Amacı
IP
protokolü,
TCP/IP
network’lerinde
bilgisayarların
birbiriyle
iletişimi
sürdürebilmek için kullandığı bir protokoldür. Pek çok kaynakta IP protokolü,
TCP/IP protokolünün postacısı şeklinde tanımlanmıştır. IP protokolü network
üzerinde paketlerin hangi host’a gideceğini belirtir. Bu, IP adreslemenin
network katmanlarında (bu durumu açıklamak için ister OSI katmanını
kullanalım; ister TCP/IP modelini) MAC adresleme ve ARP protokolüne göre
daha sonra yer alan bir yapıya sahiptir.
ARP protokolü ile belirlenen MAC adreslerinin üzerine IP adreslerinin eşlendiğini
daha önce belirtmiştik. Bu yolla, “...X MAC adresine sahip bilgisayar üzerinde
A, B, C,... gibi IP adresleri olsun” şeklinde bir tanımlama yapılabilir. Bu noktada
IP adreslerinin bir tür kavramsal adresleme sağladığını anlayabilirsiniz. Daha
önceki konuda IP adreslerinin değiştirilebildiğini ama MAC adreslerinin
donanıma elektronik olarak kaydedilmiş olması sebebiyle, ancak network
adaptörü o bilgisayardan çıkartıldığında değiştirilebildiğine değinmiştik. Bu
noktada şöyle bir soru gündeme oturabilir: MAC adresleri varken IP
adreslerine neden ihtiyaç duyuluyor?
IP adreslemenin, bir network’te ve bir bilgisayar için birden fazla görevi vardır.
Bir bilgisayarı bir network’ten alıp bir başka network’e taşıdığınızda MAC adresi
sabit kalsa bile IP adresi değişecektir. Böyle bir değişim olduğunda, sadece
MAC adresleri ile haberleşiyor olsaydık, yeni bir network kartı satın almak
zorunda kalacaktık. Diğer
yandan
birazdan
ele alacağımız network’ü
segmentlere bölme işi, ancak IP adresleme yoluyla mümkün olabilir. IP adresleme ile yapılan network’ü bölümlere (segmentlere) ayırma işi, network’ün
yönetilmesi ve trafiğin düzenlenmesi konusunda büyük bir avantaj sağlar.
Milyonlarca bilgisayarın üzerinde bulunduğu İnternet’te, sadece daha önceki
bölümde anlattığımız ARP Broadcast paketlerini kullanarak haberleşmenin
doğuracağı trafik yükünün ne kadar büyük olacağını tahmin edebilirsiniz. Bir
network’ü segmentlere ayırarak, bu network’ler arasında broadcast işlemini en
aza indirmeyi hedeflemekteyiz. Zira, uzak mesafeleri birbirine bağlarken
İçindekiler
kullandığımız network hatları oldukça dar bir veri taşıma kapasitesine sahip ve
oldukça pahalıdır. Bu hatlara (örneğin İnternet’in omurgasını oluşturan ve kıtalararası İnternet bağlantılarını sağlayan hatları düşünün) ne kadar az
broadcast paketi çıkarsa, hatların verimi o denli artacaktır. Bu ilişkiyi, sabit ve
değişmeyen ev adresleri ile, içinde yaşayan ve değişen kiracı isimlerine
benzetebiliriz. Kiracılar değişir ama mektuplar hep gider, çünkü posta teşkilatı
değişen kiracı isimlerine bakarak gönderi teslimatı yapmaz, ev adreslerine bakarak gönderi teslimatı yapar.
TCP/IP bu gibi avantajları sağlayabildiği için, büyük ölçekli ağlarda (WAN) bir
tercih sebebi olmuştur. IP adresleme de IP’nin bir görevi de bir veri paketinin
sonsuza dek network üzerinde kalmamasını sağlamaktır. IP paketlerinin içinde
TTL (Time To Live – Kullanım Süresi) şeklinde tanımlanmış bir süre de yer
almaktadır. Bu süre aşıldığında paket artık network üzerindeki cihazlar
tarafından ele alınmaz ve bu süreyi aştığı andan itibaren bir network kartına
ya da switch, router gibi bir cihaza ulaşırsa yok edilir.
IP ile multicasting ismini verdiğimiz ve aynı anda belli sayıda birden fazla
hedefe gidecek olan paketler göndermek de mümkündür. Oysa sadece MAC
adreslerinin kullanıldığı bir network’te bunun yapılması imkânsızdır. Multicast
işlemi için IP adresleme içinde özel pek çok teknoloji geliştirilmiş ve
tanımlanmıştır. IP multicasting işlemi için, dinlemekte olan multicast gurubuna
tek bir IP adresi belirlemek mümkündür. Oysa MAC adresleri sabit olduğundan
dolayı, bu şekilde bir esnekliğe sahip değillerdir.
IP adresleme ile yakalanabilen diğer bir avantaj da network’leri birbirine
bölerken
bir
network’ten
bir
başka
network’e
belli
tipte
paketlerin
geçmemesini sağlamaktır. Her paket hangi yazılıma ulaşacağı hangi port’ta ele
alınacağı ya da ne kadar süre ile hangi network’e ait olduğu gibi pek çok bilgi
tek bir pakette taşınabildiği için bu paketlere çeşitli kısıtlamalar da getirmek
olasıdır. IP filtreleme (IP filtering) denen bu olayın çok daha gelişmiş bir
şekli,
firewall
adı
verilen
yazılım
(ve
donanım)
grubu
tarafından
yapılmaktadır. Firewall’lar bir bilgisayara nasıl ulaşılacağından hangi paketin
bilgisayara gireceğine kadar her tür işlem için ayarlanabilirler ve bir IP
paketinin farklı yollar kullanarak, bir bilgisayardan bir başka bilgisayar ulaşması sağlanabilir. Böylece network üzerinde olan trafiğin kontrol edilmesi ya
da bazı özel network’lerin bazı paketlerden arındırılması sağlanabilir.
40
41
IP İle Adresleme
Daha önce IP adresleme ile ilgili küçük örnekler vermiştik. Bir IP adresinin
aslında bir şehirde yer alan bir evin adresini tanımlamaya benzediğini ve
mahalle ve sokak ismi vermek gerekliliği gibi, bir IP adresinin de aslında iki
farklı parametreden oluştuğundan bahsetmiştik. Bu örneği bir kez daha
yineleyerek, buradaki kavramları bu bölüm içinde sık sık kullanacağız. Bir
network’ün çeşitli sebepler nedeniyle segmentlere ayrıldığı söylemiştik. Bir
şehir içinde, birbirinden farklı iki semt içinde yer alan aynı isimli sokak ya da
cadde olabileceğini örneğimizde belirtmiştik. Aynı isme sahip iki farklı sokağın
birbirinden ayrılması ve farklı noktalarda olduğunun tanımlanması için
çoğunlukla adres belirtirken, bir de semt ya da ilçe ismi belirtiyoruz. IP ile
network cihazlarına, adres verilirken benzer bir uygulamaya gidilmektedir.
Bir IP adresi Subnet Mask ve IP adresi olarak iki farklı adres
parametresinden oluşur. Bu noktada Subnet Mask parametresini kabaca, bir
caddeyi anlatırken kullandığımız bir ilçe ismine, IP ise o ilçe içerisindeki sokak
ismine benzetmek mümkün. Ancak Subnet Mask ve IP adresi bir sokak ve ilçe
ismi gibi birbirinden bağımsız olarak tanımlanamazlar. Bir Subnet Mask ya da
bir IP adresi matematiksel bir ifadedir ve bu iki matematiksel ifade aralarında
tanımlı bir ilişki ile birbirlerini sınırlar. Bu sınırlamayı belirleyen kuralları
kullanarak, network’leri segmentlere böleriz. Bu konuda ve bölümün ilerleyen
kısımları boyunca Subnet Mask ve IP adresi arasında yer alan bu ilişkiyi
inceleyecek ve bu matematiksel ilişki sayesinde network segmentlerinin nasıl
ortaya çıktığını göreceğiz.
Subnet Mask ve IP Adreslerinin Genel Yapısı
Subnet Mask ve IP adresleri, dört adet sayının ardı ardına yazılmasından
meydana gelmektedirler. Bilgisayarın her noktasında olduğu gibi bu dört adet
sayının oluşturulmasında da binary (ikili) sayı sistemi kullanılmaktadır. Bu
nedenle önce ikili sayı sistemi hakkında bilgi vereceğiz.
İçindekiler
Bizler gündelik yaşamda onlu sayı sistemine göre düşünmekte ve buna göre
hareket etmekteyiz. Bu durum, aldığımız eğitim ve doğal olarak bu sayı
sistemine olan yatkınlığımızla da bağlantılı. Ama dijital sistemlerin hiç biri onlu
(decimal) sayı sistemi temel olarak kullanmaz. Bir sayı sisteminde her
basamak, o sayı sisteminin bir üssü olarak ele alınmaktadır. Örneğin 423 gibi
bir sayı için, şekilde gösterilen tipte bir çözümleme yapmaktayız ( 6.4).
Oysa dijital bir cihaz verileri işlerken ve aktarırken, sadece elektrik
sinyallerinden yararlanabilir. Elektrik sinyalleri sadece var ya da yok şeklinde
gösterilebilir. Bir kablodan bir anlık akım geçiyorsa o takdirde elektrik akımı
var ya da aksi halde yok şeklinde düşünülür. Bu iki durum için ise 0 ve
1’lerden yararlanılır. 0 rakamı ile elektrik sinyalinin yok olduğu durumlar; 1
rakamı ile de elektrik sinyalinin var olduğu durumlar gösterilir ( 6.5).
Bu şekilde veriler elektrik sinyalinin var ya da yok şeklindeki durumundan
yararlanılarak veri 1 ve 0 rakamlarını aktarır. Sonuçta 1’ler ve 0’lardan oluşan
42
43
sayı dizileri elde edebiliriz. Her sayı dizisi ikili düzende bir sayıya denk
gelmektedir. Bu sayıları onlu düzene çevirebilir ve her bir sayıya da bir anlamlı
bir karşılık verebiliriz. Bu sayede bir cihaz üzerinde hareket eden 1’ler ve 0’lar
bir araya getirildikçe bir anlam kazanacak ve işlem görebilecek olan bir veriye
dönüşecektir ( 6.6).
Şimdi başa dönüp, Subnet Mask ve IP ikilisinin yapısını anlatmaya devam
edelim. IP adresi ve Subnet Mask bilgilerine ulaştığınızda, bunların birbirini
takip eden sayı gruplarından oluştuğunu görürsünüz. Bir Subnet Mask’ı ya da
IP adresini gördüğünüzde, 192.168.112.200 ya da benzer şekilde dört adet
sayıdan oluştuğunu görmek mümkündür. Burada verdiğimiz örnekteki 192;
168 ya da 001 gibi sayıların her birine oktet (octet – sekiz haneli sayı kümesi)
ismi verilmekte. Bunun nedeni, 10’luk sistemde gördüğünüz bu sayıların ikili
sisteme çevrildiklerinde bu değerin her zaman 8 bit (8 digit) ile elde edilmesidir.
İkili sistemde 8 bit’li bir sayı en az 0 (00000000) en fazla ise 255 (11111111)
değerini alır. TCP/IP adresleri de, noktalarla ayrılmış bölümlerinde sayıların
decimal karşılıkları en fazla 255 olabilen sayılarla oluşturulurlar.
İkili sistemde konuşmak yazmak, böyle bir sayı için 32 bit tuttuğu ve kolay
olmadığından, sistem ikili sistemde çalışır ama, okunup konuşulurken 10’luk
sistem kullanılır. İkili sistemde çalışan TCP/IP adreslerinin bu şekilde
kullanılmasına dotted decimal notation (noktalı ondalık notasyon) denir.
Daha önceki şekillerde verdiğimiz örneklere dikkat edecek olursanız, örneklerin bu aralıkta tanımlanan sayılarda seçildiğini görürsünüz. Bu şekilde her bir
oktet’in yapısını ve her oktet’in aslında sekiz adet 1 ve 0’dan oluştuğuna aşina
oluyoruz.
Daha önce sizlerle Subnet Mask ve IP numaralarının birbiriyle matematiksel
olarak ilişkili olduğunu ve bu ilişkiyi kullanarak, network’lerin segmentlere
bölündüğünü söylemiştik. Aradaki bu matematiksel ilişkiyi belirlerken, Subnet
Mask’ı ve IP numarasını devamlı olarak ikili sayı sistemine çevireceğiz. Bir
İçindekiler
Subnet Mask ile IP numarası arasındaki ilişkinin bulunması için her bir oktet’in
binary’e, diğer bir deyişle ikili sayı sistemine çevrilmesi gerekmektedir.
Bölümün geri kalanında bu matematiksel ilişkinin kurulması için gerekli olan
hesapları işleyeceğiz. Tüm bu bahis ettiğimiz Subnetting ve IP adreslerinin
hesaplanması ile ilgili konuları takip eden alt başlıkları okuduktan sonra
kavrayabileceksiniz. Bu bölümlerin her birinde subnetting ile ilgili sadece bir
kısım anlatılmış olacak. Ancak tüm bölümleri bitirdiğinizde subnetting’in ne
olduğunu ve nasıl bir uygulama alanına sahip olduğunu anlama fırsatı bulacağız.
Onlu Sistemin İkili Sisteme Çevrilmesi
Tüm IP terminolojisinde, onlu sistemi kullanmamıza rağmen, IP ve Subnet
Mask’ların oluşturulmasındaki tüm işlemleri ikili düzen üzerinden yapılmakta
olduğunu daha önce söylemiştik. Subnet Mask ve network segmenti
oluşturmak için öncelikle onlu sayı dizisindeki yazılmış, her bir okteti ikili sayı
düzeninde belirtmeyi öğrenmelisiniz. Bu konuda bir örnek belirleyecek ve bu
örnek üzerinde işlemleri anlatarak bu dönüşüm işlemini açıklayacağız.
oktet1 oktet2 oktet3 oktet4
192
168
90
1
Şu anda yukarıda yer alan her bir sayının bir oktet ismini aldığını biliyorsunuz.
Şimdi bu oktet’lerden birine, oktet 1’e, daha yakından bakalım. Bu oktet’in
onlu düzende karşılığı 192 ve bu desimal rakamın ikili düzende 11000000 ile
gösterildiğini, hesaplamaların nasıl yapıldığını göstermek amacıyla veriyoruz.
Her oktet 8 adet bit’ten oluşmaktadır. Ama asıl öğrenmemiz gereken
11000000’nın nasıl 192’ye karşılık geldiği...
Her bir sayı düzeninde olduğu gibi ikili düzende de basamaklar bulunmakta.Bu
örneğin onlu düzende birler (100), onlar (101) ve yüzler (102) gibi 10 ve 10’un
katları (üstleri) şeklinde giden basamaklar, ikili düzende birler (20), ikiler (21),
dörtler (22), sekizler (23) gibi basamaklara sahiptir. 128’ler basamağında 1
rakamı varsa bunu doğrudan o basamak değeri ile çarparak değerini
bulabiliriz. Tüm rakamları ve var olan basamak değerlerini topladığımızda sayının onlu düzendeki karşılığı çıkar.
Bizim örneğimizde ise sadece 128’ler ve 64’ler basamağında iki adet 1 rakamı
var ve bunların çarpımlarını topladığımızda, onlu düzendeki 192 sayısını elde
ediyoruz.
44
45
128 64 32 16 8 4 2 1
1
1
0
Bit’ler (ikili sistemde sayının
yazılışı)
0 0 0 0
0
128+64 = 192
Bir başka örnek: Onlu sayı sisteminde 219 değerine sahip olan bir sayının ikili
düzendeki karşılığını bulalım.
128 64 32 16 8 4 2 1
1
1
0
1
1 0 1 1
Bit’ler
128+64+16+8+2+1 = 219
Eğer bizim örneğimizdeki 192.168.90.1 şeklindeki dört oktetten oluşan bir IP
adresini ikili düzene çevirirseniz, şu karşılığı bulursunuz:
oktet1
oktet2
192
oktet3
168
11000000.
oktet4
90
10101000.
1
01011010.
00000001
AND İşlemi ve IP Sınıfları
Bu bölümde IP adreslerinin ve IP sınıflarının nasıl ortaya çıktığından
bahsedeceğiz. Daha önce bir Subnet Mask’ın ve bir IP numarasının birlikte
kullanılarak bir network segmenti oluşturduğunu söylemiştik. Subnet Mask
öyle bir numaradır ki, verilen bir IP adresiyle AND işleminden geçirdiğinizde,
bu IP adresinin network bölümünün neresinde olduğu ortaya çıkar. Bunu
ileride anlatacağız. Şimdi bir örneği görelim ve bu örnekten yola çıkarak IP
sınıflarını tanımlayalım.
Bir Subnet Mask’ı oluşturulmasında kullanılan temel kural bu adres içinde bir
kez sıfır rakamı kullanıldıktan sonra ardından 1 rakamının bir daha
kullanılamamasıdır. Yani bir Subnet Mask sadece birbiri ardına gelen 1’ler ve
sonra yine birbiri ardına gelen 0’lardan oluşabilir. Örneğin;
oktet1
oktet2
oktet3
oktet4
255
255
224
000
11111111. 11111111. 11100000.
00000000
(Doğru bir Subnet Mask’tır.)
İçindekiler
Dikkat ederseniz; üçüncü oktet’de üç adet 1 rakamı kullanılmış ve bundan
sonra arada hiç bir rakamı yok. Subnet Mask’ların tek oluşma biçimi bu
şekildedir. Aksi bir durum olarak:
oktet1
oktet2
oktet3
255
255
229
11111111. 11111111. 11100101.
oktet4
128
10000000
Yukarıda gördüğünüz sayı Subnet Mask’ta kullanılmak üzere tanımlanmış
yanlış bir sayıdır. Örneğin üçüncü oktette (oktet3) ilk iki sıfırdan sonra 1
rakamı kullanılmıştır. Aynı şekilde, dördüncü oktet’de de 1 rakamı kullanılarak
Subnet Mask’lar için söylediğimiz kural bozulmuştur. Bir Subnet Mask içinde
bir kez 0 rakamı kullanılırsa bundan sonra gelecek rakamların hepsi 0
olmalıdır.
Şimdi bu kuralın ne işe yaradığını görelim. Aynı ağ segmentinde, yani aynı ağ
bölümünde bulunan iki bilgisayar birbiriyle iletişim kurarken nasıl aynı ağ
segmentinde olduklarını anlamaktadırlar? Yine farklı iki ağ segmentinde
bulunan bilgisayarlar farklı bir ağ üzerinde olduklarını nasıl anlamaktadırlar?
Bir bilgisayar üzerinde hem o bilgisayara ait IP numarası hem de Subnet Mask
numarası tanımlıdır. Bir bilgisayar başka bir bilgisayara bir veri iletmeden önce
her iki numarayı bir AND işleminden geçirir. AND işlemi, VE anlamına gelen,
bir tür mantıksal işlemdir. İki bit AND işlemine sokulduğundan şu sonuçlar
çıkar:
1
AND
1=1
1
AND
0=0
0
AND
1=0
0
AND
0=0
Bu işlemi kısaca şu şekilde de tanımlayabiliriz: İki 1 AND işlemine sokulursa;
sonuç 1 olur. Değerlerden herhangi biri 0 ise, sonuç 0 olmaktadır. AND
işleminde 1 etkisiz eleman olarak kabul edilebilir.
Şimdi aynı iki network segmentinde yer alan iki bilgisayarın birbirlerine veri
göndermeye çalıştığını düşünelim. A bilgisayarı ve B bilgisayarına ait IP ve
Subnet Mask bilgileri şekilde gözüktüğü gibidir ( 6.7).
A bilgisayarı B bilgisayarına bir veri göndermeye çalışmaktadır. Bu durumda A
bilgisayarı ilk olarak kendi IP numarası ile kendi Subnet Mask’ını bit bit AND
işlemine sokacaktır.
46
47
11111111. 11111111. 00000000.
00001010 (10.10.10.10 şeklindeki A bilgisayarının IP’si)
00000000 (255.255.0.0 şeklindeki A bilgisayarının Subnet
00001010. 00001010. 00000000.
00000000 (AND işleminden sonra çıkan birinci sonuç:
00001010. 00001010. 00001010.
Mask’ı)
10.10.0.0)
Bu işlemin sonucunda bulunan sayıya, verilen IP adresinin network bölümü
(Network ID) denir. Birazdan bu konuya tekrar geleceğiz. A bilgisayarındaki
IP protokol yazılımı, su anda kendisinin bulunduğu IP network’ünün network
numarasını bulmuş olur. Bu örnekte, bu numara dotted decimal notasyona
göre 10.10.0.0 olacaktır. Bu sayıya X diyelim.
Aynı bilgisayar, göndereceği bilgisayarın IP numarası ile kendi Subnet Mask’ını
da AND işleminden geçirir.
00001010. 00001010. 00001010.
11111111. 11111111. 00000000.
00001010. 00001010. 00000000.
00001011 (10.10.10.11 şeklindeki B bilgisayarının IP’si)
00000000 (255.255.0.0 şeklindeki A bilgisayarının kendi Subnet
Mask’ı)
00000000 (AND işleminden sonra çıkan ikinci sonuç:
10.10.0.0)
Şu anda A bilgisayarı B bilgisayarının tahmin ettiği Network ID’sini buldu. O
bilgisayarın IP adresinin Network ID kısmına A %100 emin olamaz, çünkü
hedef bilgisayarın Subnet Mask’ını bilmiyordur. Bu örnekte buradan da
10.10.0.0 bulunur. Bu sayıya da Y diyelim.
Bu işlemler sonucunda, her iki sonuç da aynı çıktığı anda A bilgisayarı veri
göndereceği bilgisayarın da kendi bulunduğu network’le aynı network’te
olduğunu anlayacaktır. Sonuç olarak X=Y ise A bilgisayarı ile B bilgisayarının
aynı
segmentte
olduğu,
(aynı
lokal
network’te)
olduğu
anlaşılır.
A
bilgisayarının B bilgisayarını network üzerinden bulması için, A’daki IP protokolünün yaptığı işlemler böyle olduğundan, IP adreslerinin birbirleriyle
uygun verildiği bu gibi durumlarda, Subnet Mask numaraları farklı bile olsa, bu
bilgisayarlar aynı LAN üzerinden birbirleri ile haberleşebilirler. Çünkü X=Y olduğu
anlaşıldığı zaman, hemen ilgili host’un network kartından network’e bir ARP
broadcast paketi atılarak, “IP adresi 10.10.10.11 olan host’un MAC adresi
nedir?” sorusuna cevap bulunur. Sonra da ilgili veri haberleşmesi ne ise, örnek
Ethernet Frame’lerine konan TCP/IP paketleri ile karşılıklı gönderilmeye
başlanır.
Bu örnekten de anlaşıldığı gibi, X=Y olmadığı (Network ID’si için) durumlarda, A
bilgisayarı, B bilgisayarı ile aynı network’te olmadığını anlar, B’nin başka bir
network’te olduğunu anladığı için de, veri paketini tanımlı olan Default
Gateway adresine gönderir (bu konuyu daha ilerde ele alacağız). Bu noktada
İçindekiler
da işlem Default Gateway’in MAC adresini öğrenmek için, A tarafından bir ARP
broadcast’inin network’e bırakılması ile devam eder.
Şimdi iki farklı network’te olan (iki farklı network segmenti) iki bilgisayarın
birbirilerinden farklı network’lerde olduklarını nasıl fark ettiklerini görelim. Bu
sefer iki farklı network’te A ve B bilgisayarı olsun. Bu iki bilgisayarın Subnet
Mask’larının ve IP numaralarının şekildeki gibi verildiğini düşünelim ( 6.8).
Şekildeki C ve D bilgisayarlarının birbirlerinden farklı iki Subnet Mask’a sahip
olduklarına dikkatiniz çekmek istiyoruz. Bu sefer farklı bir Subnet Mask
adresine sahip olan D bilgisayarının C bilgisayarına veri göndermek istediğini
düşünelim. Veri göndermek isteyen D bilgisayarı yine kendi IP’sini kendi Subnet
Mask’ı ile AND işlemine sokacaktır.
00001010.
00001010. 00001011. 00001011
11111111.
11111111. 11111111. 00000000
00001010.
00001010. 00001011. 00000000
(10.10.11.11 şeklindeki D bilgisayarının IP’si)
(255.255.255.0 şeklindeki D bilgisayarının Subnet
Mask’ı)
(AND işleminden sonra çıkan birinci sonuç:
10.10.11.0)
Aynı bilgisayar, göndereceği bilgisayarın IP numarası ile kendi Subnet Mask’ını
da AND işleminden geçirir.
00001010. 00001010. 00001010.
00001010 (10.10.10.10 şeklindeki C bilgisayarının IP’si)
11111111. 11111111. 11111111.
00000000 (255.255.255.0 şeklindeki D bilgisayarının Subnet
00001010. 00001010. 00001010.
00000000 (AND işleminden sonra çıkan ikinci sonuç:
Mask’ı)
10.10.10.0)
Her iki sonucun birbirinden farklı olduğuna dikkat çekmek istiyoruz. Bu
noktada D bilgisayarı veri göndereceği bilgisayarın farklı bir network
segmentinde bulunduğunu fark eder. D bilgisayarı, verilerini göndermek
istediği bilgisayar ile aynı network’te olmadığı için bu bilgisayara doğrudan
erişemeyecektir. Bu durumda, veri paketlerinin bir router ya da gateway isimli
bir cihazdan, B bilgisayarının bulunduğu network’e aktarılması gerekmektedir.
Bu işlem için C bilgisayarı verileri Default Gateway isimli özel bir IP adresine
gönderir. Bu IP adresinin ucunda diğer network segmentine verileri aktaracak
olan router ya da benzeri cihaz bulunuyor olacak. Bu sayede gönderilen
verilerin diğer network’e aktarma işlemi mümkün olacaktır. Bu örneklerden de
anlayabileceğimiz gibi, Subnet Mask ile AND’leme hesabı, iki farklı IP adresinin
aynı network’te olup olmadığını anlamakta kullanılmaktadır.
Şu halde IP yapısında (Subnet Mask’lara bakarak) iki kısım olduğunu
söyleyebiliriz. Bir IP’nin başından itibaren belli bir kısmı onun hangi network’te
48
49
olduğunu geri kalan kısmı ise o network’teki bilgisayarların tanımlanması için
gerekli numaraları verdiğini söyleyebiliriz. TCP/ IP dünyasında, IP numarasının
hangi network’te bulunduğunu gösteren kısmına Network ID ve geri kalan
bilgisayarların adreslendirilmesi için kullanılan kısma ise Host ID olarak isimlendirilir. Bu sistemi sokak numarası, kapı numarası örneğine benzetebiliriz.
Nasıl bir sokaktaki tüm evlerin kapı numaraları ayrı, sokak numaraları aynı
olmak zorunda ise, bir IP network’ündeki tüm host’ların da, IP adreslerinin
host ID bölümleri ayrı, Network ID bölümleri aynı olmak zorundadır.
Ama bu noktada bir IP adresinden baştan kaç bit’inin Network ID ve kaç
bit’inin Host ID olarak adlandırıldığı bilgisi Subnet Mask tarafından belirlenir. Bir
AND işlemi sırasında 1 rakamı etkisiz eleman olarak karşımıza çıktığını daha
önce belirtmiştik. Bu sebeple de Subnet Mask’ın bir kısmı sadece 1’lerden geri
kalan kısmı ise sadece 0’lardan oluşmaktadır. Subnet Mask içindeki 1’ler IP
numaramızın Network ID’sini ve Host ID’sini belirlemede kullanılmış olur.
IP Sınıfları
Bir network’ün Subnet Mask’ının, network’ler arasındaki farkı nasıl belirlediğini
gördük. Bir IP ve Subnet Mask birlikte kullanıldığında, iki farklı network
segmentini gösteriyor olabileceğini ve bunun temel mantıksal işlemlerinden
biri olan AND işlemiyle gerçekleştirildiğini gördük. Şekilde, Network ID ve Host
ID adında IP adreslerinin Subnet Mask tarafından etkilenmiş bir kısmının
olduğunu da fark etmişsinizdir. Şu halde, Subnet Mask’ların network
segmentleri arasında ayrım yapmak için kullanılan bir araç olduğunu da
söyleyebiliriz.
İnternet gibi büyük network’lerde, segmentler kayıplara da neden olmaktadır.
Bu durumun nasıl meydana geldiğini ilerleyen bölümlerde göreceğiz.
Network’lerdeki
segmentleri
oluşturulmasında
yardım
aldığımı
Subnet
Mask’lar, IP’lerin sınıflarının da oluşturulmasında rol oynar. Bu noktada geriye
dönüp söylediğimiz bir kuralı hatırlatarak yolumuza devam edelim. Subnet
Mask’larda 0 rakamından sonra tekrar 1 rakamı gelemez. AND işleminin
sonucu olan kural, 1 rakamının, AND işlemindeki etkisiz eleman olmasından
kaynaklanır. 1 rakamı ile AND işlemini hangi sayı ile yaparsak yapalım, sonuç
yine o sayının kendisi çıkar. O halde bazı Subnet Mask’lardaki kullandığımız 1
rakamlarının sayısı, IP’nin ne kadarlık bir bölümünün network segmentinin
ayrımında kullanılan Network ID olarak kullanıldığını gösterecektir. Yani
İçindekiler
Subnet Mask’taki 1 rakamları, IP adresi üzerindeki hangi kısmın Network ID
hangi kısmın da Host ID olacağını gösterecektir.
11000000. 10101000. 01101001. 00000001
(Onlu sayı sistemindeki 192.168.105.1 IP
adresi)
11111111. 11111111. 11111111. 00000000
(Onlu sayı sisteminde 255.255.255.0 şeklindeki
bir Subnet Mask)
←
→
Network ID
←Host
ID→
Görüldüğü üzere, verileri gönderirken de kullandığımız bir Network ID ve Host
ID kavramı var ve bir bilgisayarın bir başka network segmentinde olduğu, bu
kavramların farklı yapıları nedeniyle belirginleşiyor.
Subnet Mask’ların farklı şekilde Host ID ve Network ID yapılandırması, IP
sınıflarının da oluşturulmasında kullanılmıştır. IP sınıfları, farklı ve bilinen
uzunlukta Subnet Mask’ların kullanılması ile ortaya çıkar. IP sınıflarını, onları
tanıyarak daha kolay kavrayabiliriz. İnternet standartlarının geliştirilmeye
çalışıldığı ilk zamanlarda, “eğer IP adreslerini sınıflara ayırarak kullanırsak ve
konuşursak, her sınıfın Subnet Mask’ı da belli ve değişmez olacağından, bir
daha Subnet Mask’ın ne olduğunu telaffuz etmeye gerek kalmaz” diye
düşünülmüştür. Bunun da bir kolaylık sağlayacağı düşünülerek, aşağıdaki
sınıflandırma geliştirilmiştir.
Class A: 1.x.x.x ile 126.x.x.x arasındaki IP’ler
(IP adresinin en anlamlı bit’inin 0 olduğu sınıf)
Class B: 128.0.x.x ile 191.255.x.x arasındaki IP’ler
(IP adresinin en anlamlı iki bit’inin 10 olduğu sınıf)
Class C: 192.0.0.x ile 223.255.255.x arasındaki IP’ler
(IP adresinin en anlamlı iki bit’inin 110 olduğu sınıf)
Bu tür IP adreslemeye classfull IP adressing (sınıflı IP adresleme) denir,
bunun dışındaki sırf hesap yapılarak çalışan sisteme classless IP adressing
(sınıfsız IP adresleme) ve classless routing (yönlendirme) adı verilir. Bu
sınıflar, router’larda daha az RAM kullanılsın, boşuna Subnet Mask bilgileri tutulmasın, işlenmesin ve işlemci gücünden kazanç sağlansın diye tasarlanmıştır.
Öte yandan, sırf bu yüzden İnternet’te büyük IP adresi kaybı yaşanmıştır. Bu
kaybı önlemek üzere subnetting ve classless routing geliştirilmiştir. Class’lar,
İnternet’te hâlâ classful router’lar kullanımda olabileceği için bir türlü
kullanımdan atılamıyor.
50
51
Görüldüğü gibi, başta İnternet’te classful IP adressing ve routing yapıldığı için
çıkan bu kurallar sonucu, Class A network’lerin Subnet Mask’ı 255.0.0.0
olmalıdır; Class B network’lerin Subnet Mask’ı 255.255.0.0, Class C
network’lerin Subnet Mask’ı ise 255.255.255.0 olmalıdır. Dolayısı ile bu
kurallara uyulması zorunludur ve aksi düşünülemez. Ama günümüzde İnternet’teki router’lar da buna destek verdiği için (buna Classless InterDomain Routing, kısaca CIDR deniyor) ya da şirket için kullandığımız özel
network’lerde subnetting mantığından da faydalanarak, farklı Subnet Mask
kullanılması sistemine geçilebilir. Bunu, bu bölümde daha ileride ele alacağız.
Bu durumda, Class’lardan bahsedilen bu standarda classfull subnetting ve
classful routing; Subnet Mask ve dolayısıyla Network ID’lerin de ihtiyaçlarımıza göre belirlendiği ortama da classless subnetting ve classless
routing diyoruz.
Fazladan hiçbir Subnet hesabı yapılmazsa, IP sınıfları ve onlara verilmesi
gereken Subnet Mask’lar şu şekildedir:
Class
(Sınıf)
Başlangıç
IP’si
Bitiş IP’si
Subnet
Mask’ı
Class A
0.x.x.x
126.x.x.x
255.0.0.0
Class B
128.0.x.x
191.255.x.x
255.255.0.0
Class C
192.0.0.x
233.255.255.x
255.255.255.0
Şu ana kadar kullandığımız halde anlamını pek detaylı olarak açıklamadığımız
iki kavramımız var. Bunlar Network ID ve Host ID kavramları. Network
ID, daha önce AND işleminde anlattığımız ve bir IP adresinin bir network
(segment) üzerinde birbiriyle haberleşmek isteyen tüm host’larda aynı olmak
zorunda olan kısmıdır. (sokak numarası gibi). Şu durumda Host ID’de, IP
adresinin o network’teki her bir host’ta farklı olmak zorunda olan kısmıdır.
Buradan yola çıkarak, ikili sistemde yazılabilecek sayılara bakılarak, bir
network segmentinde sadece belli sayıda Host bilgisayarın bulunabileceği
anlaşılır. Örnek vermek, Subnet Mask’i 255.255.255.0 olan Class C bir
network’te, IP adresinin ilk üç okteti network’teki her bilgisayar için aynı
olacağından, son okteti birbirinden farklı olan en fazla (28=256) bilgisayar ola-
İçindekiler
bilir. Host ID bölümünde, daha sonra bahsedeceğimiz başka kurallar gereği 0,
ve 255 de kullanılamadığından, bu sayı 254’e iner.
Şimdi her
sınıfta, Network ID kısmı kullanılarak
kaç adet
network
oluşturulabileceğine ve her network’te kaç adet Host olabileceğine bakalım.
Burada biraz ikili sistem hesaplarına gireceğiz.
Her
Network ID’lerinin Başlangıç ve
Network
Bitiş Numaraları
Segmentind
eki
Host Sayısı
Teorik Olarak
Kullanılabilecek
Host Adresi Sayısı
126
16.777.214
224-2 =
16.777.214
Class B
16.384
65.534
Class C
2.097.1
52
254
Class
(Sınıf)
Networ
k
Sayısı
Class A
1-126
128-191 (127 kullanılmaz, çünkü 216-2 = 65.534
loopback network’ünü belirtir)
192-223 (224’ten yukarıdakiler
de, Class D ve Class E olarak
adlandırılırlar; bunu daha ileride
anlatacağız)
28-2 = 254
Görüldüğü gibi, İnternet üzerindeki bilgisayar ve IP kullanan aygıt sayısının
son derece arttığı günümüzde, elde edilebilecek host adresi sayılarının yakın
zamanda yetersiz kalması beklenmektedir. İnternet’in geliştirilmesi sürecinde,
IP adreslerinin bu kadar yaygın bir kullanıma sahip olacağı tahmin
edilmiyordu, bu yüzden günümüzde IP adreslerinin tükenmesi tehlikesiyle
karşı karşıyayız. Bu yüzden geliştirilen yöntemleri daha ileride tartışacağız. Görüldüğü üzere, her IP sınıfında, farklı sayıda host sayısı ve network sayısı elde
edilmektedir.
Subnetting İşlemi ve Subnetting Hesapları
Şu ana kadar Subnet Mask’larla sınıflar arasında daha öncede belirlenmiş bazı
sınırlar olduğunu düşünerek işlem yaptık. Örneğin C sınıfı bir IP’nin ilk üç
oktetinin, Network ID olduğu tanımlıydı. A, B, C sınıflarına göre, IP
sınıflandırılmasında IP adresinin Network ID’sinin ve Host ID’sinin ne olduğunu
belirlemiştik. Bu belirlemeler sonucunda da, hangi sınıf IP’de kaç tane network
var ya da kaç adet Host oluşturulabilir olduğu tanımlıydı. Eğer biz bu standart
sayının dışına çıkacak olursak, ne tür bir yolla Subnet Mask’ı hesaplamamız
gerekiyor?
52
53
Örneğin, bir firmamız olsa ve tüm şubeleri gerçek IP adresler kullanarak
İnternet’e bağlamak istesek ne yapmamız lazım? Ya da kendi içinde bir sürü
segment olan bir büyük network’ü tümüyle İnternet’e bağlamak istesek ne
yapacağız? Ya da, tamamen İnternet’e kapalı bir network’ümüz de olsa, bazı
standartlar getirerek, şubelerimize nasıl IP adresleri vermemiz gerekir, her
şubenin Network ID’leri, ve buralardaki Host ID’leri belli bir düzen içinde
kullanılabilir mi? İste bu gibi ihtiyaçlar için, class’ların dışına çıkmak ve
network numaralarına karar verirken network’ün ihtiyaçlarına bakmak gerekir.
Çünkü verilen Subnet Mask’ın durumuna göre kullanabilecek IP adreslerine
sabit ve sınırlı olduğundan, IP adreslerini efektif kullanmak için böyle bir
çalışmaya ihtiyaç vardır.
İnternet ilk kurulurken anlaşılmayan en önemli problem, Class C’nin bir
network’te sadece 254 host adreslerken, Class B’nin de 65.000 host
adreslemesi idi. Büyük bir şirket için kullanılan bilgisayar sayısı göze
alındığında, 65.000 çok büyük bir rakam, 254 ise çok küçük bir rakamdır. Bu
yüzden, İnternet’e bağlanmak için IP adresi gereksinimi duyan şirketlere o zamanlar üç dört tane C class verilmesi yerine, bir tane B class adres tahsis
edildiğinden, İnternet’te boş IP adresi sayısı günümüzde oldukça azalmıştır.
Basit bir örnek olarak, elinde Class B bir IP adresi havuzu olan bir şirketin,
tüm şubelerini birbirine bağlaması için, eğer en fazla 254 tane şubesi varsa,
tüm şubelerinde 255.255.255.0 Subnet Mask’ını kullanarak bir adreslemeye
gitmesine subnetting diyoruz. Router’ların bu gibi network’teki çalışmasına ise,
classless IP routing denir. İnternet’in ilk başlarında bu tür Subnet Mask
kuralları konmadan çalışmaya başlanmasının sebebini ise, o zamanki donanım
kısıtlamaları sonucunda, sadece IP Class’ları bilerek çalışan router’ların
piyasada olmasına bağlayabiliriz.Bir örnekle durumu anlatmaya çalısalım.
Bu tür verileri belirlemek için yaptığımız hesaplamalara subnetting ismini
veriyoruz. Standart dışı Subnet Mask ve IP eşlemesi için tablolar yerine kendi
hesaplamalarımızı
yapmak
ve
network’lerimizi
kendimiz
oluşturmak
durumundayız. Örneğimize tekrar geri dönersek en fazla 5 şubesi olan bir
şirketin ISS’den aldığı 191.45.0.0 IP adres havuzu olsun. Her şubesinde de en
fazla 1.500 host olduğunu düşünelim (bilgisayarlar dışında, router port’larına
da adres verileceğini unutmayın). Normalde bu IP adresi ve 255.255.0.0
Subnet Mask kullanılarak birden fazla segment adreslenemez. Çünkü farklı
segmentlerdeki her host’un IP adresinin network bölümünün ayrı olması
gerekir. Ham olarak bakarsak, tek bir segment üzerinde 65.000 küsur tane
İçindekiler
host varsa, bu IP adresi kurallara bağlı olarak bunları adreslemek için kullanılabilir. Bu durumda birinci host’un IP adresi 191.45.0.1, ikincinin ki 191.45.0.2
vb. şeklinde gitmesi gerekirdi. Ancak gerçek hayatta baktığımızda da, fiziksel
olarak bir LAN network’ünde bu kadar bilgisayarın ortak çalışabildiği bir durum
mümkün değildir. Zaten bu kadar bir host’u fiziksel olarak birbirine tek bir LAN
olarak bağlayabileceğiniz bir switch, hub sistemi bile yoktur.
1.
Öncelikle gerekli Subnet sayısını elde etmek için kullanmamız gereken
host bit’i sayısını bulalım. İlk oktet 191’dir ve 128-191 aralığında olduğu için
bir Class B IP adresidir. Her oktet 8 bit’e sahiptir. Class B IP adreslerinin ilk iki
okteti (16 bit) kilitlidir, bu yüzden bunlara dokunamayız. Geriye 2 oktet (16
bit) kalır. Şimdi 2’nin üslerini kullanarak, 5 subnet için kaç bit’e ihtiyaç
duyduğumuzu tespit edelim:
1 bit (21) – 2= 0, bu olmaz
2 bit (22) – 2 = 2, bu subnet sayısı yeterli değil, devam edelim
3 bit (23) – 2 = 6, bu sayı yeterli. 5 subnet için 3 bit alabiliriz (1 subnet’i de
muhtemel bir genişleme için elde tutabiliriz!)
Şimdi bu ilk üç bit’in değerini tablomuza yazalım.
128
64
32
16
8
4
2
1
X
X
X
X
X
X
X
X
1
1
1
0
0
0
0
0
Her subnet’te kaç adet host’un olabileceğini hesaplayalım. Tabloda soldan
sağa giderek geri kalan bit’leri sayalım. Bu, subnet başına host sayısını
verecektir. Class B için toplam 16 host bit’imiz olduğuna ve 3 bit’ini
kullandığımıza göre, geriye host’lar için 13 bit kalacaktır. 213-2=8190. Bu
değer ihtiyaç duyduğumuz 1500 değerinden çok fazla olduğundan, ileride
network’ü genişletmek üzere daha fazla host bit’i alabiliriz.
Şimdi
az
önceki
tablomuzu
kullanarak
Subnet
Mask’ı
bulalım.
128+64+32=224. Bir Class B network’ü söz konusu olduğundan ve ilk iki
oktet rezerve edildiğinden, varsayılan Subnet Mask 255.255.0.0’dı. 3. oktetten
ilk 3 bit’i aldığımız için sadece bu oktete dikkat etmeliyiz. Subnet Mask’imiz
225.225.224.0’dır; bu kısaca /19 (8 + 8 + 3 = 19) olarak da yazılabilir.
Subnet Mask’i ya da son network bit’inin değerini kullanarak, artım değerini
bulalım. Az önce hesapladığımız Subnet Mask oktetinin değeri 224’ü 256’dan
çıkaralım. Sonuçta 32 değerini buluruz (ya da 2. maddedeki tabloda sağdan sola
giderek 1 yaptığımız ilk bit’in değerine bakalım. Bu da 32’dir). Yani, 1 numaralı
54
55
subnet’in numarası 32 olacak, bundan sonra Subnet Mask değerine ulaşana dek
her geçerli subnet’in değeri 32 artarak ilerleyecek.
Az önce bulduğumuz artım değerini kullanarak, ilk Host’un IP’sini, bu subnet
için Broadcast adresini ve son Host’un IP’sini bulalım. İlk artım değerimiz olan
32’ye kendisini ekleyelim: 32+32 = 64. Sonraki artım değerinin bir eksiği (yani
64–1 = 63), önceki subnet’in broadcast adresidir (32 subnet’inin). Geçerli artım
değerine bir eklediğimizde (32+1 = 22), 32 subnet’indeki ilk host’umuzun
IP’sini buluruz. Geçerli Subnet’in broadcast adresinden 1 çıkardığımızda (63–1
= 62), 32 subnet’i için son Host’un IP’sini buluruz. Ayrıntıları Tablo 6.1’de
görüyorsunuz:
Subnetting işleminde Subnet Mask’lar sadece Network ID’sinin uzunluğunu
belirler. Diğer yandan Host ID ve Network ID hesaplamalarında, her zaman ikili
düzende çalışmak gerekmektedir. Burada, subnetting işleminde de kullandığımız
TCP/IP adreslemesine ait üç kuralı tekrar etmek istiyoruz.
Bir Subnet Mask içerisinde 0 rakamını 1 rakamı takip edemez. Bir kez 0 kullanıldığında, geri kalan kısmında 0’lardan oluşması gerekmektedir. Subnet Mask,
Network ID ve Host ID’nin bulunuşu için kullanılmaktadır.
Bir network segmentini oluşturan farklı Network ID’ler arasında, Network ID’si
tümüyle 1’lerden oluşuyorsa, bu network segmenti broadcast amacıyla
rezerve edilmiştir. Subnet’leme sonrası oluşan son subnet (yani hep birlerin
kullanıldığı) ile, subnet’lenmemiş ana network’ün broadcast adresleri aynı
olacağından, bu broadcast adresleri karışabilir diye düşünülmüş ve “subnet ID
olarak hep bir kullanmak olmasın” denmiştir. (Örneğin: 191.45.0.0 ana
network’ünün, 255.255.255.0 Subnet Mask ile subnet’lediğini düşünün.
Buradaki son subnet 191.45.255.0 olur. Bunun broadcast adresi de dolayısıyla
191.45.255.255 olur, bu da ana network’ün 191.45.255.255 olan broadcast
adresi ile karışabilir, o yüzden subnetting’de hep 1 subnet kullanılmasın denmiştir. Bir TCP/IP adresinin host kısımlarındaki bit’lere 1 konarak elde edilen IP
adresine, o network’ün broadcast adresi denir. Bir network’teki tüm host’lara
gönderilmek
istenen
paketler
bu
adrese
yönlendirilirler
(örneğin:
192.167.3.0 network’ündeki tüm host’lara bir şey atmak için 192.167.3.255
kullanılır). Bu yüzden, bu host adresini kimseye veremeyiz, rezerve edilmiştir.
Bir network segmentini oluşturan farklı Network ID’ler arasında, Network ID’si
tümüyle 0’lardan oluşuyorsa, bu network segmenti IP fonksiyonları sırasında o
network grubunu işaret etmek için rezerve edilmiştir. Bu sebeple de
İçindekiler
oluşturduğumuz network segmentlerinde iki farklı network daima normal
kullanıma kapalı olacaktır. Bir TCP/IP adresinin host kısımlarındaki bit’lere 0
konarak elde edilen IP adresine, o network’ün kendi adresi denir. Örneğin
192.167.3.0 network’ü gibi, bu gibi adresler, routing tablolarında kullanılır,
host’lara verilemez, rezerve edilmiştir.
TABLO 6.1: ARALIKLAR, SUBNET ID, İLK VE SON HOST, BROADCAST ADRESİ
Aralık
0 x 32
1 x 32
Subnet #
Subnet ID, İlk Host, Son Host, Broadcast Adresi
0 Subnet #0 0 subnet’i geçersiz olarak kabul edilir.
32 Subnet Artım 32 = Routing Table tarafından kullanılan
#1 Subnet ID
İlk Host
= 33
Son Host
= 62
Subnet Broadcast
2 x 32
#2 Subnet ID
İlk Host
= 65
Son Host
= 94
Subnet Broadcast
3 x 32
İlk Host
= 97
Son Host
= 126
İlk Host
= 129
Son Host
= 158
İlk Host
= 161
Son Host
= 190
= 191
#6 Subnet ID
İlk Host
= 193
Son Host
= 222
Subnet Broadcast
7 x 32
= 159
#5 Subnet ID
Subnet Broadcast
6 x 32
= 127
#4 Subnet ID
Subnet Broadcast
5 x 32
= 95
#3 Subnet ID
Subnet Broadcast
4 x 32
= 63
= 223
224 Subnet Broadcast için rezerve.
#7
56
57
WAN TEKNOLOJİLERİ
Leased Line Teknolojisi Nedir, Nasıl Çalışır?
Türk Telekom iletim altyapısı üzerinden noktadan noktaya bağlantı sağlayan,
müşteriye özel ve sürekli tahsis edilmiş, sabit bant genişliğindeki bir bağlantı
tipidir ve mesafeye göre aylık sabit bir ücret ile fiyatlandırılır.
İçindekiler
Nasıl Çalışır?
Kullanıcı en yakın Türk Telekom santralına bakır kablo ile modem üzerinde
bağlanır. Burada çok sayıda kullanıcının bağlantısı TDM Multiplexer olarak
adlandırılan bir cihaz yüksek hızlı fiber bağlantılar üzerinden karşı ucun
bulunduğu santrale kadar taşınır. Karşı ucun bağlı olduğu santral ile müşteri
adresi arasındaki bakır kablo üzerinden yine modem ile geçilerek karşı uca
ulaşılır. Burada kullanılan modemler sadece müşteri adresi ile santral
arasındaki 3-4Km’lik mesafe üzerinde çalıştığından gürültüden etkilenmez.
Santraller arası bağlantı fiber ve tamamıyla digital olduğu için 64Kb altındaki
hatlarda görülen performans problemleri ve kesilmeler TDM hatlarında
görülmez.
Hangi Hızlarda Çalışır?
64Kb - 2Mb/s arası veya daha yüksek hızlarda TDM şebekesi üzerinden
noktadan noktaya bağlantılar mümkün olmaktadır.
TDM Kiralık Hat Kullanımı Yararı Nedir?
Noktadan noktaya olması dolayısıyla paket kaybı düşük olduğundan bilginin
iletilme güvenilirliği yüksektir. Bunun yanında gerçek zamanlı uygulamalar için
uygun bir altyapıdır.
Hangi Koşullarda Tercih Edilmelidir?
TDM üzerinden kiralık hat teknolojisi;
Yoğun ve düzenli aralıklarda veri transferi yapılacaksa,
Güvenlik önemli bir kriterse,
Gerçek zamanlı uygulamalar yapılacak is
Seçilmesi uygun olan bir teknolojidir. Aksi durumda maliyet artacaktır.
Kullanılacak cihazlar?
Bağlı bulunan santraldeki altyapı ışığında Tellabs veya Newbridge modemler
58
59
kullanılarak TDM altyapısı üzerinden noktadan noktaya bağlanmak
mümkündür.
Dünyada bilgi ve iletişim teknolojilerinde gözlenen gelişmelere paralel olarak
ülkemizde de bilgi işlem hizmetlerinin son yıllarda hızla yaygınlaşması ve
gelişmesi, kişisel bilgisayar ve internet kullanımının artış eğilimi göstermesi,
ayrıca özel ve kamu kuruluşlarının kendi veri ağlarını kurma gereksinimleri
sonucunda yüksek hızlı kiralık data devresi taleplerinde önemli artışlar
meydana gelmiştir.
Frame Relay Teknolojisi Nedir, Nasıl Çalışır?
Frame Relay, kurumlara geniş alan ağları üzerinden yüksek hızlarda
servis veren, esnek band genişliği kullanımı ve kiralık hatlara göre daha verimli
ve ucuz bağlantı imkanı sağlayan bir servistir.
Frame Relay, kurumlara geniş alan ağları üzerinden yüksek hızlarda
servis veren, esnek band genişliği kullanımı ve kiralık hatlara göre daha verimli
ve ucuz bağlantı imkanı sağlayan bir servistir.
Frame Relay, birden fazla kullanıcının haberleşme kaynaklarını
paylaşması esasına dayanır ve ağa bağlanan tek fiziksel hat aracılığıyla birden
fazla nokta ile görüşmelerine olanak tanır. Bu noktada artık iki uç arasında
sürekli ayrılmış band genişliği yerine gereksinim duyuldukça kısa zaman
aralıklarında kullanılan daha
yüksek band genişlikleri söz konusudur. Merkez-şube bağlantılarında bir
fiziksel hat üzerinden birden fazla nokta ile bağlantı yapılması sayesinde,
Frame Relay, kiralık devrelerle karşılaştırıldığında, gereksinim duyulan devre
sayısının azalması ile uygun maliyetli bir alternatif olarak kullanılmaktadır.
İçindekiler
Aynı fiziksel hat üzerinde değişik DLCI numaraları ile PVC'ler
kullanılarak farklı yerlere bağlantılar yapılabilir.
Frame Relay servisinin iki ana trafik bileşeni vardır. Bunlar:
CIR (Committed Information Rate - Taahhüt Edilen Bilgi Oranı) ve EIR (Excess
Information Rate - Fazla Bilgi Oranı).
CIR, ağın belli koşullar altında bir PVC üzerinden taşımayı taahhüt ettiği bilgi
oranıdır.
EIR, kullanıcının hattı üzerinde kullanılabilir band genişliği olması durumunda
şebekenin koşulları uygun olduğu sürece CIR'ın üzerinde gönderebileceği fazla
bilgi oranıdır. Bilgilerin taşınacağı taahhüt edilmediğinden, EIR trafik tarifesi
oldukça düşük tutulur.
CIR ve EIR her bir veri iletim kanalı, DLC için ayrı ayrı tanımlanır. Kullanıcı
isterse hiç EIR istemeden sadece CIR trafiği taşıyabilir. Tek DLC için
tanımlanan CIR+EIR oranları toplamı hat hızını geçmemelidir, ancak her
DLC'nin aynı anda aktif olmayacağı varsayımı ile tek hat üzerinde tanımlanan
birden fazla DLC için verilen toplam CIR+EIR oranı hat hızını aşabilir.
Frame Relay, kullanıcılara band genişliğinin esnek kullanımını sağlamaktadır.
Ancak CIR ve EIR değerleri belli mühendislik kriterlerine göre seçilmez ve
şebeke kaynakları iyi ayarlanmaz ise şebeke üzerinde "tıkanıklık" oluşabilir,
60
61
band genişliği sıkışıklıkları yaşanır.
Erişim hızı kullanıcının ağa bağlandığı fiziksel hızdır, ortalama hız ise ihtiyacı
olan ortalama veri iletim hızıdır. Bir Frame Relay kullanıcısının erişim
hızı/ortalama hız oranı ne kadar yüksek olursa servis performansı o kadar
yüksek olacaktır (yüksek verim, düşük gecikme) ve kullanıcı, band genişliğini
patlamalı trafik gereksinimleri uyarınca daha etkin kullanabilecektir. Ancak
şebeke performansı düşünüldüğünde bu oranının 2 ve 4 arasında tutulması
tavsiye edilmektedir.
Bir erişim hattı üzerinde birden fazla DLCI kullanılıyorsa, toplam kullanımın
(tüm DLC'ların aynı anda kullanılması durumunda) %50'nin altında olmaması
koşuluyla aynı kural her DLCI için uygulanır.
Ancak istenirse, aynı erişim hattı üzerinden taşınan birden fazla DLC'ye ait
toplam hız (toplam CIR) erişim hızının 2 katı olabilir. Pratikte bu durum "Aşırı
yükleme" olarak tanımlanır ve kullanıcılara, şebeke performansını etkilemeden,
oldukça iyi ekonomik koşullar sağlar. Tüm DLC'ler aynı anda aktif olmayacağı
ve olanlar arasında da band genişliğinin istatistiksel olarak paylaşılacağı
düşünüldüğünde bu çözüm oldukça iyi bir alternatif oluşturur.
Frame Relay, kurumların geniş alana çıktıklarında ihtiyaçları olan yüksek
band genişliğini sağlamak ve patlamalı trafik profilini en iyi şekilde
taşıyabilmek için geliştirilmiş, yüksek hızlı bir iletim teknolojisidir. Düşük
hızlardan başlayarak, 2Mb/s, 34Mb/s, 50Mb/s'ye varan hız seviyelerinde servis
vermektedir.
Frame Relay, günümüzün iyileştirilmiş hat kapasitesi ve uç kullanıcı cihazları
(PC, iş istasyonları vs.) üzerindeki TCP/IP temelli uygulamaların hata denetim
ve düzeltme mekanizmaları dikkate alınarak, X.25'deki çoğu denetleme
fonksiyonu en aza indirilerek geliştirilmiş ve bu nedenle Frame Relay servisi ile
çok yüksek işlem hızlarına çıkmak mümkün olmuştur.
Frame Relay bağlantısı; Değişken band genişliğine ihtiyaç duyulmasını
sağlayacak biçimde düzensiz aralıklarda ve değişken yoğunlukta veri transferi
yapılıyorsa,
Güvenlik açısından belli oranda risk kaldırılabilirse,
İçindekiler
Maliyet önemliyse ve özellikle şebeke uç sayısı çok fazlaysa
tercih edilmelidir.
Frame Relay ile Neler Yapılabilir?
Her türlü ses, video ve veri noktadan noktaya taşınabilir, TTNet
üzerinden internet bağlantısı yapılabilir.
ATM (Asynchronous Transfer Mode)
ATM, sayısal işaretleşme tekniği kullanan tüm iletişim hizmetleri için ortak bir
iletim teknolojisi olarak, 1980’lerde ortaya atılmış bir kavramdır. ATM kavramı,
esas olarak, o yıllarda CCITT (bugünkü ismiyle ITU-T= International
Telecommunications Union Telecommunications) tarafından yapılmakta olan,
B-ISDN (Broad-Band ISDN= Genişbandlı Tümleşik Hizmetler Sayısal Şebekesi)
tanımlamasındaki standartları oluşturma gayreti sırasında belirdi. Bu anlamda
ATM, o sıralarda yeni gelişmekte olan Synchronous Digital Hierarchy (SDH)
standartlarına bağlanmıştı. Yani ATM, fiziksel seviyede, SDH devreleri üzerinde
uygulanacaktı ve 44Mb/s ve daha geniş bandlı (155Mb/s, 622Mb/s,…) sayısal
iletişim hatlarının değerlendirilmesi içindi.
ATM’in sayısal iletişimde anahtarlama (switching) çözümüne getirmeyi vaat
ettiği “Devre Anahtarlama (TDM) ve Paket Anahtarlama’nın en iyi taraflarını
62
63
bir araya getirme” özelliği, bu iki teknolojinin de yerini alarak, sayısallaştırılmış
ses ve data taşınmasında ortak bir anahtarlama zemini inşasına müsaade
eder. Böylece, ATM, kullanıcıların geniş alandaki yüksek hız ve esnek band
ihtiyaçlarını karşılamada, bütün dünyada tek ortak çözüm teknolojisi olarak
yerleşmeye ve DXC, TDM, X.25 ve Frame Relay hizmetlerinin, aynı anda
hepsinin birden yerini almaya başlamıştır. Yine de, bunun da ötesinde, ATM,
giderek, “uçtan-uca tek protokol kullanımı” sloganı ile formüle edilebilecek bir
amaç doğrultusunda, klasik son kullanıcı protokollerinin de yerini almaya aday
olmuştur. Ancak, host bilgisayarlar’ın ağ arayüzü olarak ve yerel alan ağ
(LAN)’larında bir standart olarak ATM’in yagınlaşmasındaki bu yükselen dalga
şimdi artık kırılmış gibi gözükmektedir. Yerel Alan Ağ’landırması ve
İstemci/Sunucu (Client/Server) mimarisi, şimdi eskisinden de daha kuvvetli
olarak, IP-Ethernet teknolojisi üzerinde gelişmeye devam etmektedir. Bu
durum ATM’in popüler olan rolünü tekrar “Taşıyıcı/Hizmet sunucu”ların Geniş
Alan Ağı Omurgalarında sınırlamış gözükmektedir.
ATM’in taşıyıcı teknolojisi olarak üstünlüğü, aynı anda
Protokol/servis şeffaf olması. Bu bakımdan herhangi bir protokol altında veriyi
veya ses veya video sinyallerini taşımakta aynı ölçüde uygun olması,
Özünde paket anahtarlamalı olması. Bu bakımdan, ATM anahtarlar arası
trunk’larda band-genişliği kullanımının, bir “statistical multiplexing”
yaklaşımıyla, etkin bir biçimde yapılması ve farklı kanallara tahsisi dinamik
olarak ayarlanabilir olmasıdır.
ATM in özgün olan faydası: “Yüksek hızlı devrelerde, çoklu-protokol ve çokluservis türüyle çalışmaya, taşıyıcı şebekekeye minimum işlem yükü getirerek
olanak sağlamasıdır”.
ATM destekli ürün ve ATM tabanlı hizmetlerin yaygınlaştırılmasını hızlandırmak
amacıyla, uluslarası, kar amacı gütmeyen bir kurum olarak, “ATM Forum”
teşkil edilmiştir. ATM Forum, ATM standartlarının oluşturulması yolunda
yapılan çalışmaların en ciddi düzenleyicisi durumundadır. ATM ile ilgili en son
standartlar ve bunların oluşturulması yolundaki gelişmeleri “ATM Forum”
kaynaklarından takip edebilirsiniz.
Kurumsal Kullanıcı için ATM
İçindekiler
Telekom operatörleri (Carriers), kullanım ihtiyacı büyük müşterileri için,
yüksek hızlı kiralık devre (LL=Leased Line) lere bir alternatif olarak, kiralık
ATM kanalları sunumunu getirmişlerdir. Belirli bir band genişliğini ATM sanal
devresi olarak kiralamak istiyen kullanıcı, taşıyıcıdan,
- devrenin her iki ucu için ATM port’u tahsisini ve
- bu iki ucu bağlayan belirli bir band-genişliği kullanımı garantileyen
kanal oluşturmasını
ister olacaktır. ATM, X.25 ve Frame Relay gibi, bağlantı temelli bir protokole
sahiptir. ATM uç cihazları arasındaki sanal devre (Virtual Circuit=VC),
kullanıma başlanmadan önce, uçtan uca tanımlanmış ve kalıcı (permanent)
olmalıdır. ATM “Switched Virtual Circuit (SVC)” uygulamaları da mümkün
olmakla baraber, Taşıyıcıların sunduğu ATM hizmetleri genellikle PVC
(Permanent Virtual Circuit) tabanlı olmaktadır. Ülkemizde, kiralık ATM kanalı
hizmeti TTNet üzerinden mümkündür. TTNet’in ATM bağlantı hizmeti, Internet
omurgasına erişim veya noktadan-noktaya bağlantı sağlamak şeklinde iki ayrı
uygulama türü için ve iki ayrı tarife ile tanımlanmıştır. Ücretlendirme,
- port hızına göre, bir kerelik, bağlantı ücreti
- port hızına göre, aylık kira ücreti ve
- sanal devre hızı (band-genişliği) na göre, aylık kira ücreti
kısımlarından oluşmaktadır. Port hızı olarak, 2Mb/s, 34Mb/s veya 155Mb/s
mümkündür. Sanal devre (PVC) band genişliği ise 1Mb/s ile 155Mb/s arasında
çeşitli değerlerden seçilebilmektedir. Türk Telekom A.Ş.’nin sitesinden tarifeler
incelenebilir.
Sanal devre band-genişliği değerine ilave olarak, sanal devrenin trafik türü
bakımından da tanımlanması gerekmektedir. Bu anlamda, PVC çeşidi olarak
“CBR”,”UBR” ve “VBR-NRT” mümkündür.
“CBR=Constant Bit Rate”, çoğunlukla, “Video Konferansı” veya telefon
konuşması gibi ‘gerçek zamanlı’ uygulamalar için uygun bir trafik kanalı
oluşturur. Burada, kullanıcı açısından ATM kanalı, sabit bir bit pompalama
hızını, değişimlere uğratmadan, iletebilen niteliktedir. Band-genişliği tahsisinin
en katı uygulandığı bu tür ATM servisi ücret olarak en pahalısıdır ve aynı hızlı
kiralık devre ile kıyaslanmalıdır.
64
65
“VBR-NRT= Variable Bit Rate-Non Real Time”, gerçek zamanlı olmak
zorunluluğu olmayan değişken bit hızı karakterli veri uygulamaları (TCP/IP
paketleri transferi gibi) için uygun düşebilir. Bu servis, CBR ATM den daha
ucuz fiyatlandırılmıştır.
“UBR= Unspecified Bit Rate” ise en ucuz tarifelendirilmiş ATM servis türü olup,
gerçek pompalanabilir bit hızı, ancak ATM şebekesinin en az sıkışık olduğu
zamanlarda kiralanan band-genişliği mertebesine ulaşabilir. Şebeke
kullanımının normal düzeyindeki zamanlar için ve genel olarak, UBR trafik
hizmeti için transfer sırasında ATM paketleri (cell=paket) nin kaybolmadan
ulaştırılması ve ardarda gönderilen iki paket arası gecikmenin belirli bir limit
değeri aşmaması garantisi yoktur.
ATM hizmetinin kullanılması için, kullanıcı tarafında bir ATM erişim cihazı ve
bunun geniş alan ağı (WAN) tarafında uygun bir arayüz standartında port’u
olmalıdır. ATM erişim cihazı, genellikle, WAN ATM arayüzü olan bir router
olmaktadır. Özellikle ATM devre aracılığıyla Internet omurgasına bağlantı için,
ATM kullanıcı tarafı cihazı böyle bir router olmalıdır. ATM port’u arayüz
standart’ı E3 (34Mb/s), T3 (45Mb/s), OC3-STM-1 (155Mb/s), STM-4
(622Mb/s) gibi yüksek hızlı arayüz standartlarından biri olabilir.
Teknik Özellikler
CCITT’nin I.150 tavsiyelerinde ortaya koyulan ATM temel esasları aşağıdaki şu
noktalarla özetlenebilir:
ATM sabit uzunlukta paketler (cell) üzerine kurulu bir iletişim protokolüdür.
Her hücre 48Byte’lık bir bilgi alanı (yük kısmı) ve 5Byte’lık bir başlık (header)
kısmından oluşur (toplam 53Byte). Başlık kısmının ana amacı hücrenin ait
olduğu sanal kanalı belirtmektir. Sanal Kanal (VC) içinde hücrelerin sıralaması
uçtan uca değişmeden korunur.
. ATM bağlantı temellidir (connection oriented). Bir bağlantıyı
oluşturan bölümler içinde, ATM başlık kısmındaki değer, bağlantı
süresince sabittir, değişmez.
. ATM hücresinin bilgi taşıma alanı (yük kısmı), ATM ağı içinde
değişime uğramaksızın taşınır. ATM şebekesi içinde, ATM
İçindekiler
hücresinin yük kısmına ilişkin hiçbir işlem/yorum yapılmaz. ATM
şebekesi, taşıdığı yük için şeffaf (transparent) bir ortam gibidir.
. Her türden sayısal tabanlı servis, veri, ses, video, ATM üzerinden
taşınabilir. Farklı servisleri taşıyabilmek için bir “adaptasyon işlemi”
uygulanır. Bu katmanda (Adaptation Layer), farklı servis türlerine
ilişkin bilgilerin ATM hücrelerinin yük kısmına konulacak hale
getirilmesi ve bazı servise özel işlevler yerine getirilir.
ATM adaptasyonu katmanında en az işlem gerektiren yaklaşım, 5.türden ATM
adaptasyon diye anılanıdır (AAL-5). Bu yaklaşımda, ATM’de taşınacak paketler
sadece ATM hücrelerinin yük kısmına konulmak üzere 48Byte lık kısımlara
parçalanır ve taşınan bilginin amaçladığı servise özgün hiç bir kalite garantili
tedbir alınmaz. AAL-1,AAL-2, AAL-3 adaptasyon katmanı yaklaşımları ise,
maksimum paket gecikmesi ve kayıpsız paket iletimi için garanti sağlamak
amacıyla, daha karmaşık işlevleri de yerine getirmeyi üstlenirler.
ADSL
Ayrıntısıyla inceleyeceğimiz ADSL (Asymmetric Digital Subscriber Line /
Asimetrik Sayısal Abone Hattı) teknolojisi aslında xDSL diye adlandırılan
iletişim teknolojisi ailesinin bir üyesidir. xDSL ailesi uzak mesafeler arasında
sıradan bakır kablolar (telefon hatları) üzerinden yüksek miktarda veri aktarımı
yapmayı mümkün kılan teknolojiye verilen genel bir isimdir. Farklı türleri vardır
ve baştaki “x” harfi bunu ifade eder (ADSL, VDSL vb.).
Yukarıda kısaca değişik bağlantı şekillerini inceledik. Evimiz/işyerimizle bize
İnternet hizmeti veren (kendisi çok hızlı hatlarla genel İnternet ağına bağlı)
İnternet servis sağlayıcı (ISS) arasındaki veri aktarımının nasıl yapılacağıdır.
Bunun için uydu, kablotv veya telefon hatlarını kullanabiliyoruz. Telefon hatları
her yerde olması sebebiyle aslında en uygun seçenek. Herkesin evinde bir çift
66
67
telefon teli var, yolları kazıp yeni bir kablo döşemek (kablotv- çok pahalı ve
zahmetli) veya uydu gibi pahalı bir yöntem yerine bu telefon hatlarını
kullanmak en uygun seçenek gibi gözüküyor. Ancak ufak bir problem var.
POTS (Plain Old Telephone Service – Düz Eski Telefon Hizmeti) denilen ve şu
anda kullanmakta olduğumuz telefon şebekesi en başta –sadece- sesimizi
taşımak üzere tasarlanmıştır.
Şimdi bunu biraz daha açıklayalım. Telefonla konuşurken telefon ahizesindeki
mikrofon sesimizi elektrik sinyaline çevirir. Bu elektrik sinyali analog bir
sinyaldir, yani konuşurken yükselip alçalan, değişik tonlar alan sesimiz birebir
elektrik sinyaline çevrilir. Bu sinyal telefon cihazından telefon hattına, oradan
da bağlı olduğumuz telefon santraline kadar ulaşır. Şimdi, eğer aynı santrale
bağlı diğer bir abone ile konuşuyorsak sesimiz hemen diğer abonenin hattına
aktarılır, eğer diğer bir santrale bağlı bir abone ile görüşüyorsak, sesimizin
diğer santrale aktarılması gerekir.
Telefon santralinde sesimiz (analog elektrik sinyali halindeydi) dijitale çevrilir.
Bu işlem Windows’taki “ses kaydedici” ile mikrofondan sesimizi kaydetmek gibi
düşünülebilir. Dijitale çevrilen ses, bundan sonra, diğer binlerce telefon
görüşmesiyle beraber dijital formatta yüksek kapasiteli veri hatlarıyla diğer
santrale veya bir çok santralin bağlı olduğu bir merkez santrale gönderilir. Bu
yöntemle tek bir kablo üzerinden (çoğu zaman fiber optik bir kablo) aynı anda
binlerce telefon görüşmesi yapılmaktadır.
İçindekiler
Telefon sistemi tasarlanırken sadece ses iletimi göz önüne alındığından,
normal bir insan sesinin 4000 Herzt frekansında çok fazla kayba uğramadan
aktarılabileceği görülmüş ve telefon sistemi buna göre tasarlanmıştır. Bu
sebeple, az önce bahsettiğimiz analogdan dijitale çevrim işlemi 4000 Hz veya
4 KHz ile örneklenmektedir (dijitale, yani 1 ve 0’a çevrilmektedir), bu frekansın
üstünde kalan tüm sinyaller iptal olmaktadır (Windows ses kaydedici de,
örnekleme ayarını 4000 Hertz’ getirip sesimizi kaydetmek gibi). Santral
tarafında 4 Khz üstündeki frekansları yokeden bir filtre bulunmaktadır.
Dial-up modemler, işte bu 4 KHz aralıkta ses sinyalleri göndererek (modem
bağlanırken
duyduğumuz
sesler)
karşı
taraftaki
modemle
haberleşirler.Bilgisayardaki dijital bilgi modem tarafından ses sinyaline
(analog) çevrilir, telefon hatlarından gönderilir, karşı taraftaki modem ise bu
sesleri tekrar dijital bilgi haline çevirir.
Ses sinyalleri bu 4 kHz’lik aralık içinde olmak zorundadır, çünkü üstündeki
frekanslar santralde direkt filtrelenmekte yani yok olmaktadır. 4 KHz’lik bu
aralıkta gönderilebilecek maksimum veri 28.800 bit/saniye’dir.
Bir word dosyasını önce normal, sonrada zipleyip göndermeyi denerseniz, zip'li
dosyanın boyutu daha küçük olduğu için daha hızlı gittiğini görürsünüz. Siz
zip'lide olsa, açık da olsa bir dosya gönderirken, bir web sitesinde gezerken,
kısacası her türlü veri aktarımında, modeminiz aktarılan veriyi sıkıştırma
teknikleriyle sıkıştırarak gönderip/almaya çalışır. Ancak gönderilen dosya
türüne göre bu sıkıştırma az yada çok etkili olabilir. Zaten sıkışıtırılmış bir zip
dosyası 3 Kilobayt/saniye hızında indirilirken, tamamen tekst bir dosyayı
indirdiğinizde hızın birden 12-15 KB/Sn'ye çıktığını görebilirsiniz, aslında olan
şey modeminizin açık bir text dosyayı çok iyi sıkıştırabilmesi ve toplamda
gönderilen/alınan veri miktarının birden artmasıdır.
Günümüzde
satılan
tüm
dial-up
modemler
56.000
bps
hızında
çalışabilmektedir (pratikte sağlanan bağlantı hızları daha düşük olsa da). İşte
modemler içindeki sıkıştırma teknikleri, gönderilen her veriyi belli bir oranda
sıkıştırarak gönderdiği için 28.000 bps hızındaki bağlantı üzerinde, daha fazla
veri göndermek mümkün olmaktadır.
68
69
Evimize gelen bakır kablo aslında çok daha yüksek frekanslarda veri taşıyabilir.
DSL’in yaptığı da işte bu 4 KHz’lik bölümün üstündeki frekanslarda veri
aktarımı yapmaktır.
Telefon hattımız “adsl’e açılırsa”, santral tarafında evimizden gelen hat bir
ayırıcı ile iki hat haline getirilip, bir ucu eski sisteme (POTS), diğer ucu ise
DSLAM adı verilen cihaza bağlanıyor.
Böylece ilk 4 KHz’lik ve sesimizi taşıyan frekans bandı eski telefon sistemine
giderken, bunun üstündeki frekanslar ise bize DSL bağlantısını sağlayan
DSLAM cihazına ulaşıyor.
xDSL bir iletim teknolojileri ailesidir demiştik, ortalama bir ev kullanıcısının
İnternet kullanım alışkanlığı daha çok download eğilimlidir. Buna karşın
İnternete doğru veri gönderimimiz daha azdır (mail göndermek, web sitesi
yapıyorsak upload etmek vb.). Bunu göz önüne alan mühendisler, 4 kHz’nin
üstünde kalan alanı asimetrik olarak bölmüşler, download’a daha fazla frekans
aralığı bırakmışlar ve ADSL doğmuş.
İçindekiler
Bunun sonucu olarak, ADSL bağlantısı seçenekleri 128/32, 256/64, 512/128,
1024/256 ve 2048/512 gibi download/upload hızları farklı olarak karşımıza
çıkmaktadır.
Yukarıdaki grafikte bakır telefon telinin taşıdığı frekans aralığını görüyorsunuz.
İlk 4 kHz’lik alan, dediğimiz gibi, POTS olarak yani ses iletimi için kullanılıyor.
Daha sonra biraz boşluk bırakılmış ve UPSTREAM yani veri gönderimi için
kullanılan frekans aralığı, biraz boşluk ve diğerlerinden daha geniş bir
DOWNSTREAM yani veri indirimi aralığı söz konusu. İnternet’e bağlıyken dahi
telefon görüşmesi yapabildiğimizi burada görüyoruz. Çünkü ses ve veri iletimi
farklı frekanslarda yapılıyor. İnternet bağlantımız telefon konuşması için
ayrılan alana hiç girmiyor, aynı şekilde, telefon görüşmesi yaptığımız frekans
aralığı İnternet için ayrılandan farklı.
Şimdi de ADSL’in avantaj ve dezavantajlarını özetleyelim:
Avantajlar
•
Yüksek hızda İnternet bağlantısı.
•
7/24 kesintisiz bağlantı.
•
Daha düşük ping süreleri (On-line oyunlarda daha iyi sonuç).
•
Telefon hattından bağlanmasına rağmen, İnternet’i kullandığınız anda
dahi telefonunuz meşgul gözükmez, hem İnternet’i hem de telefonu aynı anda
kullanabilirsiniz.
•
İlk yatırım maliyeti diğer hızlı İnternet seçeneklerine göre düşüktür
(Uydu v.b).
•
Ülke genelinde ve dünyada en yaygın ve en basit seçenektir.
70
71
Dezavantajları
•
Dial-up’a göre pahalıdır, ancak her gün belli bir saatin üstünde
bağlandığınız zaman kara geçebilirsiniz.
•
Telefon hatları üzerinden sağlanan bir hizmettir ve bir takım sınırlamaları
vardır. Eğer eviniz/iş yeriniz telefon santraline belli bir mesafeden daha uzaksa
(dolayısı ile aranızdaki telefon teli daha uzunsa), telefon teli düşük kalitede
veya bazı noktalarında hasar görmüşse bağlantı sağlanamaz veya sık sık
problem yaşanır.
•
Halen bazı bölgelerde Telekom bu hizmeti verememektedir.
G.SHDSL
G.SHDSL, veri alma ve yükleme hızlarının birbirine eşit olduğu özel bir
DSL bağlantısı türüdür. Çoğunlukla internette çeşitli noktalarda bulunan
sunuculara veya kullanıcılara bilgi göndermek veya web sunucum üzerinden
yayın yapmak (upload) için uygun bir çözümdür.
Eğer 2 Mbps bağlantı hızı sizin için yeterli değilse veya internet
bağlantısını pek çok çalışanınız bölüşecekse, Metro Ethernet kurumunuza daha
uygun bir çözüm olacaktır. G.SHDSL teknolojisini kullanarak noktadan noktaya
bağlantılarda veya internet bağlantılarında kullanabilirsiniz. Eğer noktadan
noktaya bağlantı yapmak istiyorsak teknik olarak bir noktada 8 uç tanımı
yapılabilir. Bir noktadan birden fazla noktaya bağlantı yapmak istiyorsak o
zaman çoklu uçta F/R, ATM yada
Metro Ethernet olmalıdır.
İçindekiler
Aşağıdaki şekilde G.SHDSL in kullanım amaçlarının ADSL ile
karşılaştırılması verilmiştir.
G.SHDSL'in Avantajları
Yatırım Maliyeti Avantajı : Modem/Router gibi donanım yatırımı oldukça
düşüktür.
Uçtan Uca Hız Garantisi ve Simetrik İletişim : Simetrik yapıda olması nedeniyle
upload ve download hızları aynıdır. Uç noktalardan merkeze doğru olan trafik
kapasitesi ile merkezden uç noktalara olan kapasite aynıdır.
Standartlara Uygunluk : Uzak ofis ve ofisler arasında veri, ses ve görüntü
uygulamalarında uluslararası standartlara uygundur.
Standart İletim Hızı : Geliştirilmiş iletim hızı sayesinde ofisler arası yüksek
hızda bağlantı sağlar. Tek hat (bir çift tel) üzerinden 2 Mbps iletim hızını
desteklemektedir.
Uygulama Avantajı : Uç noktalardan merkeze doğru olan trafik kapasitesi ile
merkezden uç noktalara olan kapasite aynıdır, dolayısıyla video, audio vb.
uygulamalar için çok uygundur.
Hız Artırımlarında Yatırım Maliyeti : Hız artırımı talep edildiğinde modem,
router ve router arayüz değişikliklğine gerek kalmaz.
72
73
Metro Ethernet
Metropolitan alanda müşteri lokasyonu ile Türk Telekom Metro şebekesi
arasında,
F/O kablo üzerinden yüksek bant genişliği ile ölçeklenebilir, esnek ve düşük
maliyetli
her türlü veri akışına imkan sunan bir teknolojidir.
¬ Son kullanıcıya 1 Gbps’lere kadar bant genişliği sağlayabilen,
¬ Diğer teknolojilerden farklı olarak protokol dönüşümlerine ihtiyaç
duymadan uçtan uca ethernet kullanan,
¬ Ucuz ve kaliteli İnternet ve veri iletişimi için tasarlanmış,
¬ Sadece günümüzün değil geleceğin de kapasite ve hız ihtiyacını
sağlayabilecek bir teknolojidir.
FİBER ALTYAPININ FAYDALARI
•
Günümüzde veri transferi için kullanılan altyapılar bakır şebekeye
bağımlı olup hız ve mesafe bakır kablonun fiziksel özellikleri ile
sınırlanmıştır. Bu durum yüksek bant genişliği gerektiren katma değerli
servisleri sınırlamaktadır.
İçindekiler
•
Fiber kablo altyapısının erişimde kullanımının yaygınlaştırılması birçok
katma değerli hizmetin verilebileceği platformlar oluşmasını
sağlayacaktır.
•
Fiber altyapı üzerinden erişimde hatlardan kaynaklanan fiziksel
problemler asgariye indirilmiş olacaktır.
•
Metro Ethernet hizmetinde hedef kitle, is ve uygulamalarından dolayı
yüksek bant genişliği ihtiyacı bulunan kuruluslardır.
–
–
–
–
–
–
–
–
Kamu kurumları
Orta ve büyük ölçekli işletmeler
Plazalar
Üniversiteler
Finans kurumları
Plazalar, Alışveriş merkezleri
Büyük Oteller, Turizm Merkezleri
Belediyeler vs…
AVANTAJLAR:
•
•
•
•
•
•
•
•
Yüksek hızda internet ve veri iletimi.
LAN-WAN bağlantılarında geniş bant imkanı.
Bağlantı hızlarında geniş seçim aralığı.
Uçtan uca tek protokol.
Kullanım kolaylığı (Tak – Çalıştır)
Kolay ve esnek bant genişliği değişiklikleri.
ATM, F/R ve TDM’den ucuz teknoloji.
Müşteri tarafında SDH ve Modem vs. gibi ek yatırımlar
gerekmemektedir.
74
75
ZyWALL USG Serisi
ZyWALL USG Serisi bir firewall olmanın ötesinde tümleşik güvenlik çözümleri
sunan gelişmiş özelliklere sahip, küçük ve orta büyüklükteki işletmelerden
büyük işletmelere kadar firmaların ihtiyaçlarını sağlayabilecek modelleri
bulunan bir cihazdır. ZyWALL’un desteklediği güvenlik çözünleri arasında VPN,
firewall, anti-virüs, içerik filitreleme, IDP (atak tespit ve engelleme), ADP
(Anormal durum tespit ve koruma) , sertifika desteği, bandgenişliği yönetimi,
IM (Instant messaging) ve P2P (Peer to Peer) kontrolü, NAT, Port
yönlendirme, policy routing, yüksek erişilebilirlilik gibi gelişmiş özellikler
bulunur.
İki adet WAN çıkışı sayesinde internet erişimini yedekleme ve bağlantılar
arasında yük paylaşımı yapma olanağı sağlar. Aynı zamanda üçüncü bir WAN
bağlantısı olarak 3G celluar card kullanılabilinir ve bu sayede GSM şebekisi
üzerinden 3G teknolojisi kullanılarak internet erişimi gerçekleştirilebilinilir.
ZyWALL üzerinde bulunan LAN, WLAN, DMZ, OPT gibi portlar sayesinde
networkün bölümlendirilmesine ve farklı şekillerde yetkilendirilmesine olanak
sağlar.
Şimdi yukarıda özet olarak bahsettiğimiz ZyWALL’un özelliklerini detaylı bir
şekilde inceliyelim ve bu özelliklerin ZyWALL üzerinde uygulanışını gösteren
örnek uygulamalar yapalım.
Not: Özellikler ve örnek uygulamalar ZyWALL USG 200 serisi baz alınarak
yazılmıştır. Farklı modellerdeki konfigürasyon işlemleri benzer olsada özellikler
arasında farklılıklar bazı farklılıklar vardır. Bu farklılıklarla ilgili detaylı bilgi
edinmek için “ZyWALL USG model karşılaştırmaları” başlığına bakabilirsiniz.
ZyWALL USG Serisi Özellikleri
Firewall
Firewall özelliği sayesinde ZyWALL üzerinde farklı arayüzlerde bulunan
networkler arasında trafik filitrelemesi yapılabilir. Trafik filitrelemesini kaynak
İçindekiler
IP adresi, hedef IP adresi, protokol, ya da port numarası gibi kriterlere göre
yapmak mümkündür. Sabit port numarası kullanan uygulamalara erişimi
yasaklamak için firewall özelliği kullanılabilir. Örneğin LAN arayüzüne bağlı
kullanıcıların internet üzerindeki herhangi bir ftp sunucusa bağlanabilmeleri
istenmiyorsa bu işlem kolay bir şekilde gerçekleştirilebilir.
Yukardaki şekilde de görülebildiği gibi ZyWALL default konfigürasyonu ile iç
networkten WAN ve DMZ networklerine erişime izin verirken, WAN ya da DMZ
networkünden LAN tarafına bağlantı içerden başlatılmadığı takdirde geçişe izin
vermez. Örnek olarak LAN1 networkündeki 1 numaralı kullanıcı WAN ya da
DMZ tarafına bir telnet bağlantısı gerçekleştirebilir. Fakat WAN ya da DMZ
tarafındaki bir kullanıcı default olarak LAN1 tarafına telnet ile bağlanamaz.
DMZ internet üzerinden erişilebilmesini istediğimiz sunucuları
konumlandırdığımız networktür. Bu yüzden DMZ ile WAN arayüzleri arasında
iletişime default olarak izin verilmiştir. İç networkün güvenliğini sağlamak için
DMZ networkünden LAN networküne geçişe izin yoktur.
Yukarda belirttiğimiz bu default kuralları değiştirmek ya da farklı kurallar
tanımlayarak arayüzler arasında trafiğin geçişine izin vermek ya da
yasaklamak mümkündür.
76
77
Firewall konfigürasyonunu kolaylaştırmak amacıyla “zone” tanımlamaları
yapılabilir. Mesala WAN1 ve WAN2 arayüzlerinin ikisinide internet erişimi için
kullanıyor olalım. LAN arayüzündeki kullanıcıların internete ftp erişimlerini
yasaklamak istiyoruz. Normal de bu işlemi gerçekleştirmek için LAN tarafından
WAN1 tarafına ve LAN tarafından WAN2 tarafına iki kural tanımlamamız
gerekir. Oysa zone özelliği sayesinde WAN1 ve WAN2 arayüzlerini internet
isimli tek bir zone’nun üyesi yaparsak, LAN arayüzünden internet zone’nuna
tek bir kural tanımlamamız yeterli olacaktır.
Virtual Private Networks (VPN)
VPN firmaların kendilerine özel noktadan noktaya bağlantıları olmadan
internet gibi herkeze açık ve güvensiz ortamlar üzerinden güvenli bir şekilde
iletişim kurmalarına olanak sağlayan bir teknoloji. Kimlik doğrulama,
tünelleme ve şifreleme gibi işlemler sayesinde güvenli iletimi mümkün kılıyor.
Günümüzde servis sağlayıcıların vermiş olduğu hizmetlere baktığımızda
internet bağlantı ücretlerinin noktadan noktaya bağlantı ücretlerine göre çok
daha düşük olduğunu görüyoruz. Bu yüzden bir çok firma lokasyonları
arasında noktadan noktaya bağlantılar almak yerine mevcut internet
bağlantıları üzerinden VPN tünelleri kullanarak lokasyonları arasındaki iletişimi
sağlamaktadır.
VPN teknolojisi sadece şubelerle merkez ofis arasındaki iletişimi sağlamak
amacıyla kullanılan bir teknoloji değildir. Aynı zamanda kullanıcıların
evlerinden ya da bulundukları herhangi bir noktadan şirket networküne
güvenli bir şekilde erişimine olanak sağlayan bir teknolojidir. Kullanıcıların
uzaktan sanki şirket içindeki bir bilgisayardan çalışıyorlarmış gibi network
kaynaklarına erişimine olanak sağlar.
İki şube arasında kurulan VPN tünele Site-to-Site VPN, kullanıcıların şirket
networküne erişmesini sağlayan tünele ise Remote Access VPN ismi verilir.
Site-to-Site VPN
İçindekiler
Remote Access VPN
ZyWALL USG serisi firewall’lar site-to-site ve remote access VPN desteğine
sahiptir. Üç farklı VPN tünel kurulumu gerçekleştirmek mümkündür.
IPSec VPN
SSL VPN
L2TP VPN
IPSec VPN: Bir Site-to-Site VPN tüneli kurmak için kullandığımız VPN türüdür.
Farklı lokasyonlarda bulunan ZyWALL’lar arasında bir IPSec VPN tüneli
kurulabilir. Uç noktalarda illaki bir ZyWALL olmasına gerek yoktur. IPSec VPN
desteği olan bir ADSL modem (ZyXEL 662HW gibi) ile ZyWALL arasında da bir
IPSec VPN tüneli kurmak mümkündür.
SSL VPN: Remote Access VPN kurmak için kullanabileceğimiz yöntemlerden
biridir. Kullanıcı tarafında ek bir yazılım gerektirmeden, bir web arabirimi
78
79
üzerinden kullanıcının VPN tünel başlatmasına olanak sağlar. İki farklı çalışma
mod’u vardır.
1. Reverse Proxy Mode: Bu mod’da ZyWALL kullanıcının tam olarak iç
network’e erişimine izin vermez. Önceden belirtilen web tabanlı
uygulamalar kullanıcının karşısına bir liste şeklinde çıkar ve erişim
tanımlanmış olan bu uygulamalarla sınırlıdır.
2. Full Tunnel Mode: Kullanıcının iç networkten bir IP adresi aldığı ve iç
networkteki bir bilgisayarmış gibi yetki sahibi oldugu SSL VPN türü.
L2TP VPN: L2TP VPN kullanıcıların bilgisayarlarında bulunan L2TP ve IPSec
client yazılımlarını kullanarak şirket networküne bir remote access VPN
başlatmasına olanak sağlayan VPN türüdür. Kullanıcının ek bir cihaz ya da
yazılım kullanmasına gerek yoktur. Windows’un kendi VPN yazılımını
kullanarak bağlantı gerçekleştirmek mümkündür.
IDP (Atak Tespit ve Engelleme)
ZyWALL IDP özelliği sayesinde networkümüz için zararlı olan trafiği tespit
edebilir ve networke girişini engelleyebilir. 4. katmandan 7. katmana kadar
paketler detaylı şekilde incelenerek ZyWALL üzerindeki imzalar ile karşılaştırılır
ve paketlerin zararlı olup olmadığı bu şekilde anlaşılır. IDP özelliği sayesinde
DOS/DDOS, Scan, Buffer Overflow, Virus/Worm, Backdoor/Trojan, Access
Control, Web atakları gibi bir çok atak tespit edilebilir.
Anti-Virüs
Anti-Virüs özelliği sayesinde virüslerin bilgisayarlara erişmeden network
girişinde ZyWALL üzerinde tespit edilmesini ve iç networke erişiminin
yasaklanmasını sağlayabilirsiniz. ZyWALL, anti-virüs ürünleri ile dünyaca ünlü
Kaspersky firmasının virüs database’ini kullanmakta olup bu database’in üyelik
ile internetten otomatik olarak güncellenmesi sağlanabilir. ZyWALL aşağıda
belirtilen trafiği virüslere karşı denetliyebilir.
• FTP
İçindekiler
• HTTP
• SMTP
• POP3
• IMAP4
Anti-Spam
Anti-Spam özelliği sayesinde spam mail’lardan kurtulmak artık mümkün.
ZyWALL, gelen mail’lardaki göndericileri DNS Black List’ler üzerinden
denetliyerek mail’ın spam olup olmadığını denetliyebilir, ve bu sayede mail
sunucularının spam mail’lar ile dolmasını engeller. SMTP ve POP3 trafiği spam
maillara karşı taranabilir.
Content Filtering (İçerik Filitreleme)
İçerik filitreleme özelliği sayesinde networkünüzdeki kullanıcıların web
erişimlerini denetliyebilir ve istenmeyen sayfalara erişimlerini
yasaklayabilirsiniz. Yasaklanmak istenen sayfalar tek tek tanımlanabildiği gibi
istenirse bir içerik türü tümüyle yasaklanabilir. Mesala bir firma, çalışanlarının
facebook gibi arkadaşlık sitelerine, cinsel içerikli sitelere, ve kumar sitelerine
erişimini yasaklamak istiyor. Bu tür sitelerin hepsinin tek tek yasaklanması
yerine, ZyWALL üzerinden yasaklanmak istenilen bu içerik türlerinin seçilmesi
yeterli olacaktır. ZyWALL, internet üzerindeki bir sunucudan erişilmeye
çalışılan sayfanın içeriğini sorgulayacak, ve yasaklanan içerik türlerinden biri
olmadığı takdirde bağlantıya izin verecektir. Bu üyelik gerektirin ücretli bir
servistir.
Application Patrol
Bu özellik sayesinde ZyWALL MSN messenger gibi instant messenger (IM)
uygulamalarının, Kazaa, e-donkey gibi peer-to-peer (P2P) uygulamalrının,
voice over IP (VoIP) uygulamalarının ve streaming (RSTP) uygulamalarının
kullanımını denetliyebilir, yasaklıyabilir. Hatta bu uygulamalardaki sadece
belirli özelliklerin (mesajlaşma, ses, video görüsmesi, dosya transferi gibi) bile
denetlenmesi mümkündür. Aynı zamanda Application Patrol özelliği ses ve
video gibi gecikmeye duyarlı trafiğin önceliklendirilmesini ve bu uygulamaların
daha verimli çalışmasını sağlayabilir.
80
81
Bandwidth Management (Bandgenişliği Yönetimi)
Bandgenişliği yönetimi network kaynaklarının tanımladığımız kurallar
doğrultusunda kullanılmasını, bu sayede band genişliğinin e-mail, web erişimi,
VoIP, video konferans gibi uygulamalar arasında istediğimiz şekilde
bölümlendirilmesini sağlar.
High Availability (Yüksek Erişebilirlilik)
Internet erişiminin sürekliliğinin sağlanabilmesi için ZyWALL üzerinde
gerçekleştirebileceğimiz bir kaç işlem var. Bunları şu sekilde sıralayabiliriz;
• Birden fazla WAN arayüzünü aynı anda kullanıp trafiğin bu WAN
arayüzlerinde yük paylaşımı yapmasını sağlamak
• Bir ya da daha fazla sayıda 3G bağlantısı kullanmak
• Auxiliary arayüzünden yedek bir dialup bağlantısı oluşturmak
• ZyWALL’da bir sorun çıkma olasılığına karşın yedek bir ZyWALL
kullanmak.
Yedek bir ZyWALL kullanmamız durumunda Active-Passive ve Legacy mode
olmak üzere iki farklı yedekleme seçeneğimiz bulunuyor.
Active-Passive mode’da ZyWALL’lardan birisi tamamen yedek olarak duruyor
ve aktif olarak çalışan ZyWALL’da bir sorun çıkması durumunda devreye
giriyor.
Legacy mode’da ise iki ZyWALL’da aynı anda çalışarak yük paylaşımı
gerçekleştiriyorlar. Karışık bir konfigürasyon gerektirdiğinden önerilen ActivePassive Mode yedeklemesinin kullanılmasıdır.
İçindekiler
ZyWALL Konfigürasyon Örnekleri:
ZyWALL USG serisi cihazların konfigürasyonlarını gerçekleştirmek için
kullanabileceğimiz en temel yol cihazlara web arabiriminden erişmektir. Web
arabirimi üzerinden yapmak istediğimiz tüm işlemleri eksiksiz bir şekilde
gerçekleştirmek mümkün.
Öncelikli olarak bilgisayarımızın ethernet portundan ZyWALL’un LAN
arayüzüne bir ethernet bağlantısı gerçekleştirmemiz gerekiyor. Default olarak
P4,P5 numaralı portlar LAN arayüzü için ayrılmış olan portlardır. ZyWALL’un
LAN arayüzünün default IP adresi 192.168.1.1 olarak ayarlanmış durumda, ve
bu arayüzde çalışan DHCP server sayesinde bilgisayarımız 192.168.1.0
networkünden bir IP adresini otomatik olarak alacaktır. Eğer bilgisayarımız IP
adresini otomatik olarak alamıyorsa TCP/IP ayarlarını kontrol ederek IP
adresini otomatik al seçeneğinin seçili olup olmadığını denetliyebiliriz. ZyWALL
üzerinde önceden yapılmış konfigürasyonlar varsa LAN arayüzünün IP adresi
değiştirilmiş ya da DHCP server kapatılmış olabilir. Böyle bir durumda reset
tuşuna basılı tutarak cihazın fabrika ayarlarına geri dönüş yapması
sağlanabilir.
Bilgisayarımız ZyWALL’dan IP adresini aldıktan sonra tek yapmamız gereken
Internet Explorer gibi bir web browser kullanarak http://192.168.1.1 adresine
bağlanmak olacaktır. Çoğu ZyXEL ürününde olduğu gibi default kullanıcı adı:
“Admin” password: “1234” kullanılarak cihaza erişim sağlanabilir.
82
83
Interface Rollerinin Değiştirilmesi
ZyWALL üzerinde port rolleri default olarak aşağıdaki tabloda gördüğümüz
şekilde bölümlendirilmiş durumdadır.
Görüldüğü gibi ZyWALL üzerinde bulunan 7 adet ethernet arayüzü 6 farklı
network olarak bölümlendirilmiş durumda. Farklı networklere bağlı 2 adet
WAN arayüzü, switch gibi çalışan 2 adet LAN arayüzü, kablosuz networklere
bağlamak üzere 1 adet WLAN arayüzü, Internet üzerinden erişelecek
İçindekiler
serverlarımızın konumlandırılması için 1 adet DMZ arayüzü, ve istersek bir
WAN istersek ayrı bir LAN, DMZ, ya da WLAN arayüzü olarak
kullanabileceğimiz bir OPT arayüzü. İhtiyaçlarımıza göre bu ethernet
arayüzlerinin rollerini değiştirebiliriz.
Yapmamız gereken Network > Interface > Port Role menüsünden port
rollerini belirtmek.
WAN Arayüzünde PPPoE konfigürasyonu
Internet erişimi için ADSL bağlantısı kullandığımızı düşünelim. ADSL modemin
LAN arayüzünden ZyWALL’un WAN arayüzüne bir ethernet bağlantısı yaptık.
Böyle bir durumda modemi routing mode’da çalıştırmak yerine modemi bridge
mode’da çalıştırıp gerçek IP adresini ZyWALL’un almasını sağlamamız daha iyi
olacaktır. Modem tarafında yapmamız gereken tek şey modemin WAN
ayarlarının yapıldığı menüden protocol olarak RFC1483 Bridge modu seçmek
olacak. ZyWALL tarafında ise yapacağımız işlemler şu şekilde;
Network > Interface > PPP menüsüne giriyoruz.
84
85
Bu menüde PPPoE bağlantısı gerçekleştirebileceğimiz arayüzleri görüyoruz.
WAN1, WAN2, ve OPT arayüzleri. Modemi WAN1 arayüzüne bağladığımızı
düşünürsek, yapmamız gereken işlem 1. Satırdaki “Modify” sütunu altında yer
alan “Edit” simgesine tıklamak. Bu PPPoE ayarlarının yapıldığı yeni bir
sayfanın açılmasını sağlayacaktır. Gerekli ayarları gerçekleştirdikten sonra
“Edit” simgesinin yanında yer alan “Active” butonuna basarak WAN
arayüzünü aktif hale getirmemiz gerekiyor.
Edit simgesine bastığımızda aşağıdaki gibi bir ekran açılacaktır. Bu ekranda
öncelikli olarak “Enable Interface” kutusunu seçili hale getirecez. Bu
bağlantının çalışır hale gelmesini sağlayacaktır. “Nailed-Up” kutusunu
işaretlersek bağlantı sürekli açık kalacaktır. “Protocol” kısmından PPPoE’yi
seçiyoruz ve hemen altına ADSL bağlantısı için kullanılan kullanıcı adı ve şifre
bilgilerini yazıyoruz. IP adresi static dahi olsa “Get Automatically” seçeneği
işaretli olacak. Eğer birden fazla internet bağlantımız varsa ve bu bağlantılar
arasında yük paylaşımı yapılmasını istiyorsak en aşağıdaki “Add this interface
to WAN TRUNK” kutusunu işaretliyoruz. Geri kalan ayarlar oldukları gibi
bırakılabilir. “OK” tuşuna bastığımızda internet bağlantımız çalışır hale
gelecektir.
İçindekiler
86
87
Zone Konfigürasyonu
Daha önce Zone terimi hakkında kısaca bilgi vermiştik. ZyWALL üzerinde
firewall kuralları tanımlarken tanımladığımız bu kuralların giriş ve çıkış
arayüzlerini belirtmek durumundayız. Mesela iç networkteki bir kullanıcının
internet üzerindeki herhangi bir yere telnet ile erişimini yasaklamak istiyorsak
LAN’dan WAN’a doğru bir kural tanımlamamız gerekiyor. Ya da DMZ’teki bir
kullanıcının iç networke erişimine izin veren bir kural tanımlamak istediğimizde
DMZ’ten LAN’a (DMZ to LAN) doğru bir kural tanımlamalıyız.
İç network olarak 3 farklı arayüz kullandığımızı düşünelim. LAN, WLAN, ve
OPT. Internet bağlantısı içinde 2 farklı arayüzümüz olsun; WAN1 ve WAN2. Bu
durumda iç networkten internete bir yasaklama yapmak için LAN’dan WAN1’e,
LAN’dan WAN2’ye, WLAN’dan WAN1’e, WLAN’dan WAN2’ye, OPT’den WAN1’e
ve OPT’den WAN2’ye tanımlama yapmamız gerekecek. Yani aynı kuralı 6 kere
farklı arayüzler arasında tek tek tanımlamak durumunda kalacağız.
Zone konfigürasyonu sayesinde arayüzleri gruplandırabilir ve firewall
kurallarını zone’lar arasında tanımlıyabiliriz. Örnek; LAN, WLAN, ve OPT
arayüzlerini LAN isimli bir zone’a üye yaptık. WAN1 ve WAN2 arayüzlerini WAN
isimli bir zone’a üye yaptık. Yukarda 6 kural tanımlayarak yaptığımız
yasaklama işlemini burda sadece LAN zone’nundan WAN zone’una giden tek
bir kural tanımlayarak gerçekleştirebiliriz.
Zone tanımlamalarını Network > Zone menüsü altından gerçekleştiriyoruz.
İçindekiler
Şekilde de görüldüğü gibi zaten default olarak tanımlanmış olan zone’lar
bulunuyor. Modify sütunundaki “Edit” butonundan zone üyelikleri ile ilgili
değişiklikler yapabiliriz.
“Edit” butonuna tıkladığımızda açılan menüde sol taraftaki “Available
Interface” başlığı altında bu zone’a üye yapabileceğimiz arayüzleri görüyoruz.
Eğer bir arayüz başka bir zone’a üye ise bu listede görünmeyecektir.
“Member” başlığı altında da bu zone’a üye olan arayüzleri görüyoruz. Ok
tuşlarını kullanarak istediğimiz arayüzü bu zone’a üye yapabilir ya da üyelikten
çıkartabiliriz. “Block Intra-zone Traffic” kutusunu işaretlersek bu zone grubuna
üye olan arayüzler arasındaki iletişimi yasaklamış oluruz.
88
89
DDNS Konfigürasyonu
Diyelimki static bir IP adresimiz yok. Fakat uzaktan networke erişmemiz
gerekiyor. IP adresi sürekli değiştiği için mevcut IP adresini sürekli kontrol
edip ezberlemek olanaksız. İşte Dynamic DNS (DDNS) özelliği bu durumlar için
ideal. Internet üzerinde ücretsiz sub domain ismi temin edebileceğimiz
firmalar var. Bu firmalar aldığımız domain ismini bizim IP adresimize
yönlendiriyorlar. Tabi IP adresimiz değiştiğinde bu bilginin ilgili yere iletilmesi
gerekiyor. İşte ZyWALL’un gerçekleştirdiği işlem bu. Dynamic DNS hizmetini
aldığımız firma, ve üyelikle ilgili bir takım bilgileri ZyWALL üzerinde
ayarlıyoruz, ve IP adresimiz değiştiğinde bu bilgi otomatik olarak ilgili yere
bildiriliyor. Böylece sürekli IP adresimizi bilmek durumunda kalmıyoruz.
Aldığımız domain ismini bilmemiz yetiyor. Mesela www.no-ip.com adresinden
gurcan.no-ip.com gibi bir sub-domain ismi aldım. ZyWALL üzerinde gerekli
ayarları yaptıktan sonra artık IP adresimin değişmesi durumunda dahi internet
üzerinde herhangi bir noktadan gurcan.no-ip.com adresine bağlanmaya
çalıştığımda benim o anki adresime yönlendirilecektir.
Bu servisten yararlanabilmek için öncelikli olarak internet üzerinde bu hizmeti
veren sitelerden birine kayıt yaptırmak ve bir domain adı almak zorundayız. Bu
hizmeti ücretsiz olarak veren ve ZyWALL’un desteklediği siteler şu sekilde;
www.dyndns.com
www.dynu.com
www.no-ip.com
www.oray.cn
ZyWALL tarafında yapmamız gereken konfigürasyon ise şu sekilde;
Network > DDNS menüsü altında Add tuşuna basıyoruz.
İçindekiler
Açılan ekranda “Enable DDNS Profile” kutusunu işaretliyerek tanımlamayı aktif
hale getiriyoruz. “Profile Name” kısmına herhangi bir isim veriyoruz. “DDNS
Type” kısmından hizmeti aldığımız siteyi seçiyoruz. “Username” ve “Password”
kısımlarına siteye üye olurken kullandığımız kullanıcı adı ve şifre’yi yazıyoruz.
“Domain name” aldığımız domain ismi, gurcan.no-ip.com gibi. Son olarak
“Primary Binding Address” kısmından interface olarak internet bağlantımızın
olduğu arayüzü seçiyoruz, WAN1 gibi, ve “OK” tuşuna basıyoruz.
90
91
Port Yönlendirmesi (Virtual Servers)
Genel network yapımızı düşünecek olursak, iç network’te 192.168.1.X gibi
yerel IP adreslerini kullanıyoruz. Internet erişimi için kullandığımız gerçek IP
adresleri ise ZyWALL’un WAN arayüzlerine atanmış durumda. İç networkteki
kullanıcılar ZyWALL tarafından NAT’lanarak internete erişiyorlar. Eğer iç
networkümüzde ya da DMZ networkümüzde internetten erişilmesi gereken
sunucularımız varsa bu sunuculara erişilebilmesi için port yönlendirmesi
yapmamız gerekiyor. Mesela LAN networkünde 192.168.1.21 IP adresine
sahip bir mail sunucumuz olsun. Bu sunucuya internetten erişilebilmesi için
ZyWALL’un WAN1 arayüzünün TCP 25 numaralı portuna gelen trafiğin LAN
arayüzündeki 192.168.1.21 IP adresinin 25 numaralı portuna yönlendirilmesi
gerekiyor.
ZyWALL üzerinde bu işlemi gerçekleştirmek için Network > Virtual Server
menüsüne giriyoruz ve yeni bir port yönlendirmesi eklemek için “Add” tuşuna
basıyoruz.
İçindekiler
Açılan menüde “Enable Rule” kutusunu işaretliyoruz, ve “Rule Name”
kısmından oluşturduğumuz bu yönlendirme kuralına henhangi bir isim
veriyoruz. “Incoming Interface” wan1 olarak seçilecek. “Original IP” any,
“Mapped IP” kısmında “User Defiened” seçeneğini seçerek alttaki kutuya
serverın IP adresini yazıyoruz. “Port Mapping Type” Port olarak seçilecek.
“Protocol Type” TCP ve “original Port” ile “Mapped Port” kısmına sunucunun
dinlediği port numarası yazılacak. Bizim örneğimizde iç networkte bir mail
sunucumuz olduğu için 25 numaralı portu yönlendirdik. Eğer bir web
serverımız olsaydı buraya port numarası olarak 80 yazacaktık. Dikkat etmemiz
gereken nokta bir port yönlendirmesi yaptığımızda aynı zamanda bu
bağlantıya izin veren bir firewall kuralı tanımlamalıyız. Aksi taktirde firewall bu
erişimi yasaklayacaktır.
92
93
Firewall Kurallarının Tanımlanması
Firewall menüsünden farklı networkler arasında iletişime izin veren ya da
yasaklayan kurallar tanımlayabileceğimizi söylemiştik. Firewall kuralları
tanımlarken trafiği belirtmek için kaynak IP, hedef IP, Protocol, Port No, ve
Kullanıcı Adı gibi değerleri kullanabiliriz.
Bir örnek üzerinde nasıl firewall kuralları oluşturduğumuzu inceliyelim.
Diyelimki iç network’te internetten erişilmesi gereken bazı bilgisayarlarımız
var. Default kuralları hatırlayacak olursak WAN tarafından LAN tarafına geçiş
yasaktır. Bu yüzden bu trafiğe izin veren bir kural eklememiz gerekiyor.
Internetten erişilmesini istediğimiz bilgisayarların IP adresleri 192.168.1.10 ile
192.168.1.15 aralığında, ve erişilmesini istediğimiz port numarası TCP 12345
olsun. Tanımlayacağımız kural WAN’dan LAN’a doğru olacak. Kaynak IP
önemli değil, internetteki herhangi biri olabilir. Hedef IP aralığı 192.168.1.10 192.168.1.15 ve hedef port numarası TCP 12345. Konfigürasyonu aşağıdaki
gibi yağacağız.
Öncelikli olarak Firewall menüsüne giriyoruz ve yeni bir kural eklemek için
“Add” ikonuna basıyoruz.
İçindekiler
Açılan ekranda “From” kısmında WAN’ı ve “To” kısmında LAN1’i seçiyoruz.
(WAN’dan LAN’a doğru bir kural tanımlıyoruz) “Destination” kısmında --create
object—seçeneğini işaretliyoruz. Böylece hedef IP aralığını tanımlayabiliriz.
Aynı şekilde “service” kısmı da “create object” olarak seçiliyor. Bu trafiğe izin
verileceği için “Access” kısmında “Allow” seçili olacak.
Create Object seçeneğini seçtiğimizde hedef IP adresini belirleyeceğimiz bir
pencere açılacak.
“Name” kısmına herhangi bir isim veriyoruz. Bir IP aralığı belirteceğimiz için
“Address Type” kısmından range’i seçtik. “Starting IP Address” başlangıç IP
adresi, “End IP Address” bitiş IP adresi.
94
95
Hedef Port numarasını belirtmek için açılan menüde “Name” kısmına servisi
tanımlayan herhangi bir isim veriyoruz. “IP Protocol” kısmından kullanılan
protokolü seçiyoruz, TCP gibi. Port numarasını “Starting Port” kısmına
yazıyoruz.
Evet bu işlemleri yaptıktan sonra “OK” tuşuna tıkladığımızda yeni firewall
kuralımız oluşturulmuş olacak. Oluşturduğumuz kuralı Firewall menüsünde
görmek mümkün. İstenirse bu kural üzerinde daha sonradan değişiklik
yapılabilir.
İçindekiler
96
97
Force User Authentication
Daha önce firewall kurallarının tanımlanması ile ilgili örnek konfigürasyonlar
yapmıştık. Firewall kurallarını tanımlarken IP bazlı filitreleme işlemleri yapmayı
gördük. Yapılan filitreleme işlemini IP bazlı yapmanın bir takım dezavantajları
var. Mesela networkümüzdeki kullanıcılar IP adreslerini eğer bir DHCP
sunucudan alıyorlarsa, her bağlandıklarında farklı bir adres alabilirler ve bu da
IP adresinden kullanıcının tanınmasını olanaksız kılar. Eğer bu sorunu çözmek
için kullanıcı bilgisayarlarına statik IP adresleri atanırsa bu da ayrı bir dert
olacaktır. Çünkü ortamdaki bilgisyarlara tek tek IP adresi vermek hem
zahmetli bir iş, hem de kullanıcı kendi IP adresini değiştirebilir. İşte bu
noktada Force User Authentication özelliği bize büyük bir kolaylık sağlıyor.
Force User Authentication özelliği sayesinde kullanıcıların internet erişimi
sağlamadan önce bir kullanıcı adı/şifre ile kendilerini firewall’a tanıtması
zorunlu hale getirilebilir. Bu sayede firewall kurallarını IP bazlı değil kullanıcı
bazlı tanımlayabiliriz.
Şimdi bu işlemi USG 200 üzerinde nasıl gerçekleştirdiğimizi örnek bir
konfigürasyon ile inceliyelim.
Öncelikli olarak iç networkten internete erişim için kimlik doğrulamayı mecburi
hale getirelim. Bu işlemi yapmak için “Object > User/Group > Setting”
menüsüne giriyoruz.
Açılan ekranda en aşağıda “Force User Authentication Policy” isminde bir
bölüm göreceğiz.
Burada yeni bir tanımlama eklemek için “+” tuşuna basıyoruz.
İçindekiler
Açılan ekranda “Enable” kutucuğunu işaretliyoruz ve “Authentication”
kısmında “force” seçeneğini seçiyoruz. “Source Address” kısmından
“Lan1_subnet” seçeneğini, “Destination Address” kısmından ise “any”
seçeneğini seçeceğiz. Böylece iç networkteki kullanıcılar herhangi bir yere
ulaşmaya çalıştıklarında kendilerini bir kullanıcı adı/şifre ile tanıtmaları
gerekecek.
İşemleri yaptıktan sonra “OK” tuşuna basarak onaylıyoruz.
Artık oluşturduğumuz ifade listede gözüküyor. “Apply” tuşuna basarak
yaptığımız değişikliği aktif hale getiriyoruz.
98
99
Artık bir kullanıcı internet üzerinde herhangi bir sayfaya erişmeye çalıştığında
öncelikli olarak kendisinden kullanıcı adı/şifre girişini yapmasını isteyen
aşağıdaki gibi bir sayfa açılacak.
Tabi yapmamız gereken bir diğer işlem de firewall’umuz üzerinde kullanıcı adı
şifreler oluşturmak. “Object > User/Group > User” menüsüne giriyoruz.
İçindekiler
Firewall üzerinde tanımlanmış olan kullanıcıları bu ekrandan görmek mümkün.
Yukarıda da görüldüğü gibi default sistem kullanıcıları dışında tanımlanmış
olan bir kullanıcı bulunmuyor. Yeni bir kullanıcı eklemek için “+” tuşuna
basıyoruz. Karşımıza aşağıdaki gibi bir ekran açılacak.
Açılan ekranda “User Name” kısmına kullanıcı adını yazıyoruz. “Password”
kısmına kullanıcının şifresini, ve “Retype” kısmına yazdığımız şifrenin aynısını
yazıyoruz. Diğer ayarlar üzerinde bir değişiklik yapmamıza gerek yok. “OK”
tuşuna basarak kullanıcıyı oluşturuyoruz.
Artık yeni oluşturduğumuz kullanıcı listede görülecektir.
Şimdi kullanıcı doğrulamasını zorunlu hale getirdiğimize göre artık kullanıcı adı
bazlı firewall kuralları tanımlayabiliriz.
100
101
IPSec VPN Tünel Kurulumu
IPsec VPN kuruluna başlamadan önce dikkat etmemiz gereken iki önemli
nokta bulunuyor. İki nokta arasında IPSec VPN tünel kurabilmemiz için
noktalardan en az bir tanesinin statik IP adresine sahip olması gerekiyor. Eğer
iki tarafta dinamik IP adreslerine sahipse bir tünel kurulumu
gerçekleştiremeyiz. Dikkat etmemiz gereken diğer nokta ise iç networklerde
kullandığımız IP adreslerinin birbirinden farkı olmalarıdır. Örneğin birinci
noktada iç networkümüz 192.168.1.0/24 networkü ise diğer noktada da iç
network olarak 192.168.1.0/24 networkünü kullanamayız.
Şimdi bir örnek üzerinde Site-to-Site IPSec VPN tünel kurulumunu inceliyelim.
Örneğimizde İstanbul ve Ankara şubelerinde bulunan ZyWALL’lar arasında
IPSec VPN kurulumunu göreceğiz. İstanbul şubesinin statik IP adresinin
olduğunu düşünelim. Ankara Şubesi ise dinamik IP adresine sahip olsun.
Ankara tarafında LAN IP adresi değiştirilerek 192.168.5.1/24 yapılmış. Böylece
olması gerektiği gibi iç networkler birbirinden farklı ayarlanmış.
Öncelikli olarak İstanbul şubesindeki ZyWALL’un konfigürasyonunu
gerçekleştirelim.
VPN > IPSec VPN > VPN Gateway menüsüne giriyoruz.
İçindekiler
”Add” tuşuna basıyoruz.
Açılan pencerede “VPN Gateway Name” kısmına VPN tünelimizi tanımlayan
herhangi bir isim veriyoruz, “AnkaraVPN” gibi. “My Address” kısmından
internet bağlantımızın olduğu arayüzü seçiyoruz. “Peer Gatewaty Address”
kısmı karşı tarafın IP adresini tanıttığımız kısım. Ankara şubesi dinamik IP
adresine sahip olduğu için burda “Dynamik Address” seçeneğini işaretliyoruz.
“Authentication” menüsünde “Pre-Shared Key” seçeneği işaretli olacak ve
yandaki kutuya iki tarafta da aynı olacak bir şifre yazacağız.
102
103
“Phase 1 Settings” kısmından şifreleme gibi işlemlerde kullanılacak
algoritmalar belirleniyor. Burada seçtiğimiz değerler karşı noktada da aynı
şekilde ayarlanmış olmalı. Güvenliği artırmak için default seçili olan
algoritmalar yerine daha güvenli olan “AES128”, “SHA1”, “DH2” algoritmaları
seçilebilir.
Bu ayarları yaptıktan sonra “OK” tuşuna basıp yaptığımız ayarları
kaydediyoruz.
Artık yeni oluşturduğumuz VPN Gateway listede görünecektir.
Daha sonra “VPN Connection” menüsüne gelip “Add” tuşuna basıyoruz.
İçindekiler
Açılan ekranda “Connection Name” kısmına herhangi bir isim yazacağız. “VPN
Gateway” kısmından “Site-to-site with Dynamic Peer” seçeneği işaretleniyor ve
yandaki kutucuktan az önce oluşturduğumuz “AnkaraVPN” isimli VPN
gateway’i seçiyoruz. “Local Policy” iç networkümüzü belirtiyor. VPN tünel
üzerinden sadece burada belirtilen networke erişilebilir. “LAN1_SUBNET”
seçilebilir yada istenirse yeni bir tanımlama oluşturulabilir. “Remote Policy”
kısmı karşı taraftaki iç networkü belirten kısım. VPN tünel kullanılarak hangi
networklere erişilebileceği buradan öğreniliyor. Ankara noktasındaki iç
networkümüz 192.168.5.0/24 networkü olarak tanımlanmıştı. Burada “Create
Object” seçeneğini işaretliyeceğiz ve yeni açılan pencerede aşağıdaki ayarları
yapacağız.
104
105
Şekildeki gibi karşı tarafın iç networkünü tanımladıktan sonra “OK” tuşuna
basıyoruz ve “Remote policy” kısmında oluşturduğumuz “Ankara_Local” isimli
ifadeyi seçiyoruz.
“Phase 2 Settings” kısmından şifreleme ile ilgili algoritmalar seçiliyor. Bu
algoritmalar iki taraftada aynı ayarlanmalı. “OK” tuşuna basıp yaptığımız
ayarları kaydediyoruz.
İçindekiler
Artık yeni oluşturduğumuz VPN bağlantısı listede görülecektir.
Şimdi benzer ayarları Ankara şubesindeki ZyWALL üzerinde de
gerçekşleştirmemiz gerekiyor. İstanbul şubesi statik IP adresine sahip olduğu
için bir kac noktada farklı ayarlar gerçekleştireceğiz. Mesela “VPN Gateway”
oluşturduğumuz ekranda önceden “Dynamic Address” seçeneğini
işaretlemiştik. Bu sefer “Static Address” seçeneğini işaretleyip yandaki
kutucuğa istanbul şubesinin static IP adresini yazıyoruz. Bu ekranda geri kalan
ayarlarda bir farklılık yok.
106
107
Aynı şekilde “VPN Connection” menüsünde yeni bir VPN bağlantısı
oluştururken “VPN Gateway” kısmında “Static Site-to-Site” seçeneği seçilecek.
Aynı ekranda “Remıote Policy” için bu sefer oluşturduğumuz adres bilgilerine
192.168.1.0/24 networkünü tanımlayacağız. (Remote Policy karşı tarafın iç
networkünü tanımlıyordu. Istanbul şubenin iç networkü 192.168.1.0/24)
İçindekiler
Konfigürasyon Dosyasının Yedeklenmesi
Zywall üzerinde yaptığımız konfigürasyonların bir kopyasını alarak ileride
oluşabilecek bir sorunda tüm konfigürasyonu baştan yapmak yerine önceden
kopyaladığımız yedek konfigürasyonu geriye yükleyebiliriz. Konfigürasyon
dosyasının yedeğini almak için yapmamız gereken işlemler şu şekilde;
“Maintanence > File Manager” menüsüne giriyoruz.
Açılan ekranda listede gördüğümüz “startup-config.conf” isimli dosya
konfigürasyon dosyamız. Listeden bu dosyayı seçerek aşağıdaki “Download”
tuşuna basıyoruz. Bu işlemi yaptıpımızda dosyayı nereye kayıtetmek
istediğimizi soracak. Bir klasör belirledikten sonra kaydet tuşuna bastığımızda
artık konfigürasyon dosyasını yedeklemiş oluyoruz.
Yedeklediğimiz konfigürasyon dosyasıını geri yüklemek istediğimizde yine aynı
menüyü kullanıyoruz. Bu sefer yapmamız gereken “File Path:” kısmından
bilgisayarımızdaki konfigürasyon dosyasının yerini göstermek ve daha sonra
“Upload” tuşuna basmak.
108
109
Kayıt ve Lisans İşlemleri
Zywall USG serisi cihazlar üzerinde Anti-virüs, IDP, ve içerik filitreleme gibi
ileri seviye özelliklerin olduğunu belirtmiştik. Anti-virüs ve IDP özelliklerinin
verimli çalışabilmeleri için internet üzerinden bu servislerle ilgili
güncellemelerin indirilmesi gerekiyor. Bu güncellemeler ekstra servisler olup
ayrı ücrete tabiler. Güncellemelerin otomatik bir şekilde yapılabilmesi için
cihazın internet üzerinden kayıt edilmesi ve lisans bilgilerinin girilmesi
gerekmekte. Aynı şekilde içerik filitreleme özelliği lisans gerektiren ücretli bir
servis olup, kullanılabilmesi için ilgili kayıt ve lisans işlemlerinin yapılması
gerekmektedir. Tüm bu servislerin 1 aylık ücretsiz deneme lisansları cihazla
beraber gelmektedir, fakat bu özelliklerden yararlanabilmek için internet
üzerinden kayıt edilmesi gerekmektedir. Deneme süreleri dışında bu servislerin
kullanılabilmesi için E-icard diye isimlendirilen hizmet paketlerinin alınması ve
bu paketlerdeki lisans numaralarının internet üzerinden kayıt ettirilmesi
gerekmektedir.
Kayıt işlemlerini gerçekleştirebilmek için öncelikli olarak zyxel’in ürün kayıt
sayfasında kendimize özel bir hesap açıyoruz.
http://www.myzyxel.com
İçindekiler
www.myzxel.com adresine girdiğimizde yukarıda ki gibi bir ekran karşımıza
çıkacak. Eğer daha önceden oluşturduğumuz bir hesap varsa “Log In”
kısmından giriş gerçekleştirebiliriz. Eğer yeni bir hesap oluşturmak istiyorsak
soldaki menüden “New Account” menüsüne giriyoruz.
Açılan ekranda bizden kullanı adı, şifre, isim, soyad, e-mail, address, telefon
gibi bilgiler istenecek. Yanında kırmızı yıldız işareti olanlar doldurulması
zorunlu olan alanlardır ve buradaki bilgiler doğru bir şekilde yazılmalıdır. İlgili
bilgileri yazdıktan sonra en aşağıdaki “Submit” tuşuna basarak kullanıcı
hesabımızı oluşturmuş oluyoruz. Hesabın aktif hale gelmesi için yazdığımız
mail adresine gelen onay mail’indaki link’e tıklamalıyız.
Artık www.myzxel.com sitesinde bize ait aktif bir hesabımız var. Şimdi
elimizdeki Zyxel ürünlerini bu site üzerinden kayıt edebiliriz.
Öncelikli olarak tekrardan http://www.myzyxel.com adresine girelim ve bu
sefer login kısmına daha önceden oluşturduğumuz kullanıcı adı ve şifreyi
yazarak giriş yapalım.
110
111
Giriş sayfasında adımıza kayıtlı olan ürünlerin bir listesini görüyoruz. Tabiki ilk
giriş yaptığımızda burada herhangi bir ürün göremeyeceğiz. Ürün kaydı için
yukarıdaki “My Product” menüsüne girip “Add” tuşuna basabiliriz ya da bu
ekranda gördüğümüz “To register product Click here” yazısına
tıklayarakta aynı ekrana ulaşılabilir.
İçindekiler
Açılan ekranda ürün kayıdı için doldurmamız gereken üç kısım var. Bunlardan
ilki ürünün seri numarası. Seri numarası ürünün arkasında bulunan etiket
üzerinden görülebilir. Seri numarasını girdiğimizde ürünle ilgili bilgiler (ürün
türü, modeli gibi) aşağıda otomatik olarak yazacaktır. Daha sonra
“Authentication Code / MAC Adress” kısmına ürünün MAC adresini
yazmamız gerekiyor. Bu MAC adresi yine ürünün arka etiketinde yazdığı gibi
istenirse ürünün menülerinden de görülebilir. Son olarak ürüne bir isim
veriyoruz. Buraya ne yazdığımız çok önemli değil. Bize ait ürünler listesinde
vermiş olduğumuz bu isimler ile ürünler gözükmektedir. “Submit” tuşuna
basarak yaptığımız işlemi onaylıyoruz.
112
113
Daha sonra yukarıda görüldüğü gibi bizden ürünü aldığımız tarih ve aldığımız
yerle ilgili bir bilgi girmemiz istenecek. Bu bilgileri girip “Continue” tuşuna
basarak kayıt işlemini tamamlıyabiliriz.
Artık ürün listesinde eklemiş olduğumuz ürünü görebiliriz.
İçindekiler
Ürün ve bu ürüne ait lisanslarla ilgili daha detaylı bilgi almak için yapmamız
gereken listeden ürünün ismine tıklamak olacaktır.
Ürün ismine tıkladığımızda karşımıza yukarıdaki gibi bir ekran açılacak. Bu
ekranda ürüne ait kullanılabilir servisler ve bu servislerin durumlarıyla ilgili
bilgiler görülmektedir. Yukarıdaki ekranda da görülebildiği gibi şu an
servislerin hiç biri aktif durumda değil.
Aynı bilgiyi Zywall USG serisi cihazımızın web konfigürasyon ekranından da
görüntülüyebiliriz.
114
115
“Licensed Service Status” başlığı altında Anti-virüs, IDP, ve Content Filter
servislerinin yanında “Not Licensed” ifadesi bu servislerin aktif olmadığını
göstermektedir. Bu Servisleri aktif hale getirme işlemini Zywall üzerinde
gerçekleştiriyoruz. Artık www.myzxel.com adresinde bir işlem yapmamıza
gerek yok. Bu sayfadan lisansların bitiş süreleri ve durumları takip edilebilir.
Servisleri aktif hale getirmek için “Licensing > Registration” menüsüne
giriyoruz. Unutmayın aktivasyon işlemini gerçekleştirebilmek için cihazın
internet erişiminin olması gerekiyor.
İçindekiler
Burada “existing myZyxel.com account” seçeneğini işaretleyerek önceden
www.myzyxel.com sitesinde oluşturduğumuz kullanıcı adı ve şifre bilgilerini
giriyoruz.
Daha sonra “Trial Service Activation” başlığı altındaki kutucukları
işaretleyerek ücretsiz 1 aylık deneme lisanslarını aktif hale getirebiliriz. 1 aylık
süre bu servisleri aktif hale getirdiğimiz andan itibaren başlayacaktır. “Apply”
tuşuna basarak işlemi sonlandırıyoruz. Artık ürünümüz kayıtlı ve 1 aylık
deneme lisansları aktif durumda. Anti-virüs ve IDP servisleri otomatik olarak
internet üzerinden gerekli güncellemeleri yapacaklardır.
116
117
“Licensing > Registration > Service” menüsünden servislerin durumu ve
lisansların bitiş süreleri görülebilir.
Ücretsiz 1 aylık deneme lisansları dışında ücetli lisansların kayıtları yukarıda
gördüğümüz ekrandan yapılabilir. “Licence Upgrade” kısmındaki kutuya
aldığımız lisans kodunu yazarak “Update” tuşuna basmamız yeterli olacaktır.
http://www.myzyxel.com adresinden de lisans durumları ve bitiş süreleri
görülebilir.
İçindekiler
Vantage Raporlama Yazılımı
Günümüz networklerinin en büyük ihtiyaçlarından biri yapılan bağlantıalar,
bandwidth kullanımı, cihaz yoğunluğu, VPN tünel durumları gibi konularla ilgili
raporların alınması ve bunların takip edilmesidir. Özellikle yeni yapılan yasa
düzenlemeleri sonucunda firmalar kullanıcıların yaptığı bağlantılarla ilgili kayıt
tutmadıkları taktirde yapılan tüm işlemlerden firma yükümlü duruma
düşmektedir.
Raporla işlemi genelde zor ve maliyetli bir işlemdir çünkü cihazlar üzerinde
bulunan arabirimler istenilen bilgileri sunmak için yetersizdir. Aynı zaman bu
bilgilerin yüksek boyutlarda olması cihaz üzerinde saklanmasını
zorlaştırmaktadır. Bu yüzden raporlama ve kayıt işlemleri kullanılan yazılımlar
ile bilgisayarlar üzerinde gerçekleştirilmektedir. Genelde kullanılan yazılımın
farklı bir üreticiye ait olması yazılımın ekstra maliyete neden olmasını sağlar.
Zyxel USG serisinin en büyük avantajlarından bir tanesi de Vantage Report
isimli raporlama programının ücretsiz olarak ürünle beraber gelmesidir. Cihazla
beraber kutunun içerisinde bu yazılıma ait kitapçığı ve lisans bilgilerini
bulabilirsiniz.
Vantage Report yazılımının en güncel versiyonu
ftp://ftp.zyxel.com/Vantage_Report adresinden indirilebilir.
Öncelikli olarak yazılımı bir bilgisayara kuruyoruz. Kurulum sırasında herhangi
bir ekstra ayar ya da yapılandırma bilgisi bizden istenmiyor. Sadece “Next”
tuşuna bikaç kere basarak kurulumu kolay bir şekilde gerçekleştirebiliriz.
Kurulumu gerçekleştirdiğimizde “Başlat” menüsünde proglamla ilgili herhangi
bir kısa yol göremeyeceksiniz. Bu sizi korkutmasın çünkü yazılım servis olarak
windows açıldığında otomatik olarak arka planda çalışmaktadır. Vantage
Report web tabanlı bir uygulama olup bütün konfigürasyon ve raporlama
işlemleri web arabirimi üzerinden gerçekleştirilmektedir. Uygulumayı
kurduktan sonra web browserımıza http://127.0.0.1:8080 yazarak
uygulamaya erişebiliriz.
118
119
Zyxel cihazlarından alışkın olduğumuz default username: Admin ve Password:
1234 Vantage Report’ta çalışmayacaktır. Default kullanıcı adı ve şifreler şu
şekilde;
User Name: root
Password: root
İlk girişi yaptıktan sonra “root” kullanıcısının şifresini değiştirmekte fayda var
çünkü ortamdaki başka bir bilgisayardan da bu web arabirimine erişmek
mümkün.
Giriş yaptıktan sonra karşımıza aşağıdaki gibi bir ekran açılacak.
İçindekiler
Öncelikli olarak yapmamız gereken ürünle beraber gelen Lisans kodunu aktif
hale getirmek olacaktır. Bu işlemi “System Settings > Registration”
menüsünden gerçekleştiriyoruz.
Registration menüsünde aşağıdaki gibi bir ekran açılacak burada “Upgrade”
tuşuna basıyoruz.
120
121
Açılan ekranda “License Key” kısmına ürün kitapçığının içinde yazan lisans
kodunu yazıp aşağıdaki menüden “Exististing myZyxel.com account”
seçeneğini seçiyoruz ve daha önceden www.myzyxel.com adresinde
oluşturduğumuz kullanıcı adı şifre bilgilerini giriyoruz. (Kayıt işlemleri ile ilgili
örnekler kayıt ve lisans işlemleri başlığı altında bulunabilir.) “Upgrade”
tuşuna bastığımızda lisans bilgileri aktif hale gelecektir.
İçindekiler
http://www.myzxel.com adresinden de lisanslama ile ilgili bilgiler görülebilir.
Artık denetlemek istediğimiz cihazla ilgili bilgileri uygulamaya ekliyebiliriz.
122
123
Yapmamız gerken web
arabiriminde sol taraftaki
menüde bulunan root yazısına
sağ tuşla tıklayıp açılan
ekranda “Add Device”
seçeneğini seçmek.
Açılan ekranda “Name” kısmına cihazı
tanımlayan herhangi bir isim veriyoruz.
MAC kısmına Zywall’umuzun MAC adresini
yazacağız. (Zywall’un arkasındaki etiketten
MAC adresi öğrenilebilir.)
“Type” kısmından cihazımızın modelini
seçiyoruz.
Vantage tarafında yapmamız gereken ayarlar bu kadar. Birde Zywall tarafında
logların Vantage yazılımına gönderilmesi için yapmamız gereken bir ayar var.
“Maintenance > Log > Log Settings” menüsüne giriyoruz.
İçindekiler
Burada 2 numaralı ifadenin satırında “Modify” kolonu altındaki “Edit”
simgesine basıyoruz.
Açılan ekranda “Active” kutucuğunu işaretliyoruz.
“Log Format” kısmı VRPT/Syslog olarak seçili kalıyor.
124
125
“Server Address” kısmına Vantage Report yazılımını kurduğumuz bilgisyarın
IP adresini yazıyoruz.
“Log Facility” Local 1 olarak kalabilir.
“Active Log” kısmında “All Logs” ifadesinin yanındaki kutucuklardan
ortadakini işaretliyerek bütün loglamaları aktif hale getiriyoruz.
İşlemimiz tamamlandı artık Zywall bütün bilgileri Vantage Report yazılımına
aktaracaktır. Bu işlemi yaptıktan sonra Vantage Report yazılımına web
arabiriminden bağlanarak raportları görüntülemeye başlıyabilirsiniz.
Not: İşlemleri yaptıktan sonra raporları görmeye başlamanız 5-10 dk gecikmeli
olacaktır.
İçindekiler
Switch Uygulamaları
VLAN kullanılarak 2 switch nasıl bağlanır ?
2 tane layer 2 switch üzerinde VLAN yapmak istiyorum ve birinci switch’i ikinci
switch’e trunk portundan bağlamak istiyorum.Birinci Es2024 üzerinde 5 VLAN ,
ikinci switch üzerinde 7 VLAN olacak.Trunk port her iki switch de de 25. port
olacak.Fakat her iki switch üzerinde de trunk port seçeneğini bulamadım.
Port 25’i trunk port olarak nasıl kullanabilirim?
Seneryo aşağıda tanımlanmıştır:
Bu iki switch deki VLAN konfigurasyonları şu şekilde :
Switch A üzerinde VLAN 2, 3, 4, 5, 6
Switch B üzerinde VLAN 2, 3, 4, 5, 6, 7, 8
126
127
1. Switch 1 üzerindeki LAN konfigurasyonu
------------------------------------2. Switch 1 üzerindeki LAN konfigurasyonu
Cevap:
------------------------------------Switch A içinde, 25 portunu her VLAN’a ekle.
VID:101 (port 1,2,3,"25 TAG")
VID:102 (port 4,5,6,,"25 TAG")
VID:103 (port 7,8,9,10,"25 TAG")
VID:104 (port 23,24,"25 TAG")
VID:105 (port 11,12,13,14,"25 TAG")
VID:106 (port 15,16,17,"25 TAG")
VID:107 (port 18,19.20,21,"25 TAG")
İçindekiler
------------------------------------Switch B içinde, 25 portunu her VLAN’a ekle
VID:101 (port 1,2,3,,4,"25 TAG")
VID:102 (port 6,7,8,9,10,"25 TAG")
VID:103 (port 11,12,13,14,"25 TAG")
VID:104 (port 15,16,17,18,"25 TAG")
VID:105 (port 19,20,21,23,22"25 TAG)
Her iki switch üzerinde aynı VLAN da olan kullanıcılar birbirleri ile
haberleşebilirler.Clients in same VLAN on both switches can communicate
each other.
PVID:
λ Switch 1 üzerinde PVID ayarla:
Port 1, 2, 3 : 101
Port 4, 5, 6 : 102
Port 7, 8, 9, 10 : 103
Port 23, 24: 104
Port 11, 12, 13, 14: 105
Port 15, 16, 17: 106
Port 18, 19, 20, 21: 107
λ Switch 2 üzerinde PVID ayarla:
Port 1, 2, 3, 4 : 101
Port 6, 7, 8, 9, 10, : 102
Port 11, 12, 13, 14, : 103
Port 15, 16, 17, 18: 104
Port 19, 20, 21, 22, 23: 105
128
129
Bilgisayarlar VLAN kullanılarak birbirinden nasıl izole
edilirler ve internete girmek için nasıl Router’a
bağlanırlar ?
Eger Router Vlan’ı tanımazsa ,o un-tag frame olarak ayarlanmıştır.
Layer 2 switch üzerindeki VLAN konfigurasyonu aşağıdaki gibidir:
PC1: Port 1 üzerinde VID 1
Router: Port 24 üzerinde VID 24
PC1 , PC2, PC 3 internet girmek için Port 24 üzerindeki Router’ı kullanıyorlar.Internet
ve VLAn nasıl configure edilir ?
Cevap:
1. VLAn’ları aşağıdaki gibi ayarla
- VID =1:
Port 1, Fixed, untagged
- VID =2:
- VID =3:
- VID =24:
•
VLAN ayarlarında
2. PVID’ları aşağıdaki gibidir
- Port 1 : 1
- Port 2 : 2
- Port 3 : 3
- Port 24 : 24
130
131
Layer 3 switch’de Subnet (Alt Ağlar) nasıl birbirinden
ayrılır?
ES-4024 switch’e bağlı 3 farklı alt ağa (subnet) sahibiz.
1). VLAN1: 192.168.1.0/24 olarak yapılandırılan portlar 1-8.
2). VLAN2: 192.168.2.0/24 olarak yapılandırılan portlar 9-16
132
3). VLAN3: 192.168.3.0/24 olarak yapılandırılan portlar 17-24
Ve Uplink port 25 192.168.4.0/24 alt ağı ile farklı bir vlan (VLAN Uplink) da
yapılandırılır . Ve 192.168.4.1/24 IP ye sahip bir router 25 nolu Uplink portuna bağlı.
VLAN1, VLAN2 ve VLAN3 tan tüm üç network 25. uplink portuna bağlı Gateway
router içinden internete çıkabilmelidir. VLAN1, VLAN2 ve VLAN3 arasında hiçbir
şekilde haberleşme olmamalıdır.
Cevap:
1. ES-4024’ın ayarlarında 4 adet VLAN oluşturun.
VID 1: 1~25(untag)
VID 2: 1,2,3,4,5,6,7,8,25(untag)
VID 3: 9,10,11,12,13,14,15,16,25(untag)
VID 4: 17,18,19,20,21,22,23,24,25(untag)
2. PVID’yı ayarla
port: 1,2,3,4,5,6,7,8,25
port: 9,10,11,12,13,14,16
port: 17,18,19,20,21,22,23,24,25
port: 1~25
:2
:3
:4
:1
3. IP SETUP içinde
3.1 Default gateway adresi 192.168.4.1 olarak ayarla.
3.2 Dört farklı IP subneti oluştur.
192.168.1.1/24
192.168.2.1/24
192.168.3.1/24
192.168.4.2/24
4. RIP içinde
4.1 3.2 de oluşturduğumuz dört farklı arayüzü aç
Both direction’ı enable et.
RIP-1’i seç.
4.2 Router içiersinde RIP’i enable et.
5. Layer 3 filtering’te filtering kuralları ayarlayın
5.1 Kaynak: 192.168.1.0/24; Hedef: 192.168.2.0/24
5.2 Kaynak: 192.168.3.0/24; Hedef: 192.168.2.0/24
5.3 Kaynak: 192.168.1.0/24; Hedef: 192.168.3.0/24
133
Layer 3 switch’te Port Mirroring (Port Aynalama) nasıl
ayarlanır?
Bir müşteri , port 1 den port 3 e iletilen trafiği port 5’i mirror olarak kullanarak
izlemek istediğinde nasıl bir ayarlama yapmalıdır ?
Switch içinde , aşağıdaki gibi ayarlama yapabilir.
134
Bir 802.1x environment (ortamı) nasıl ayarlanır ?
5.1: RADIUS ayarları:
Şekilde gösterilen konfigurasyon ekranını görüntülemek için ana menüden
Advanced Application altından Port Authentication linkine tıklayın.
Enable Authentication Server’ı tıklayın . IP adres, UDP port ve shared
Secret değerlerini girin.Daha sonra ayarların devreye girmesi için Apply a
tıklayın.
802.1x ayarlarına girmek için 802.1x linkini tıklayın.Check the Enable
Authentication seçeneğini kontrol edin ve 802.1x kimlik doğrulamasını enable
etmek için Apply butonuna basın. Check Enable to turn on 802.1x
authentication on that port Bu port üstünde 802.1x kimlik doğrulamasını açmak
için Enable seçeneğini kontrol edin.Diğer ayarları olduğu gibi bırakabilirsiniz.
Değişikliklerinizi kaydetmek için Apply butonuna basın.
5.2 RADIUS server setup
RADIUS altından RADIUS SERVER linkine tıklayın.
135
Default değerleri kullanabilirsiniz veya Authentication port, Shared Secret
değerlerini değiştirebilirsiniz. Unutmayın ki bu değerler client taraftaki ayarlar ile
aynı olmalıdır.
5.3 Kullanıcı Hesabı Oluştur
RADIUS altından USER ACCOUNT linkine tıklayın.Var olan kullanıcı hesaplarını
kullanabilirsiniz veya Add New User butonuna basarak yeni bir kullanıcı hesabı
oluşturabilirsiniz.Unutmayın ki client tarafı Radius server daki hesabı kullanmalı.
5.4 Windows XP(Supplicant) ayarları:
MeetingHouse Aegis client, Funk Odyssey client ve Microsoft 802.1x client gibi
tercih edebileceğimiz birçok program vardır.Biz örnek olarak Microsoft 802.1x client
programını alıyoruz.
5.4.1 802.1x/MD5-challenge ayarı
Local Area connection (Yerel Ağ Bağlantısı) Properties(Özellikler)’i açın
, ve sonra Authentication sayfasıonı tıklayın. Enable IEEE 802.1x
authentication for this network’i control edin ve MD5-challenge EAP type
combobox. içindeki MD5-challenge’i seçin.Bu ayarları aşağıdaki şekilde de
görebilirsiniz.
136
Aşağıdaki şekilde görüldüğü gibi 802.1x başladığında size kullanıcı adı ve şifre
soracak.
İcon’u tıkladıktan sonra kullanıcı adı , şifre girişi için bir dialog penceresi
olacak. Kimlik doğrulama sunucusunun database’inde bulunan kullanıcı adı ve
şifre girdikten sonra OK butonuna tıklayın. Böylece client ayarları bitirilmiş olur.
137
Yukardaki prosedürden sonra doğrulanmış porta sunuvuya giriş için izin
verebiliriz.Eğer switch portu doğrulanmazsa bu portun arkasındaki bilgisayar
networke erişemez.
Switch içindeki Port Security ve Static Mac Forwarding
nasıl kullanılır?
Switch tasarımında güvenlik daima önemlidir. Switch deki güvenlik seviyesini
etkilemek için birçok methoda yaklaşılabilir. Bunların arasından port güvenlikli static
mac forwarding kombinasyonu ihtiyaçlarımız başarmak için iyi çözümler sunar.
Switch in MAC tablosunda var olan belirli bir port üzerindeki bazı PC lerin MAC
adreslerini kısıtlayabiliriz.Bu durumda öncelikle web konfigurasyonun static Mac
forwarding içindeki port ile Mac adres arasında bağlantı kuracağız.Sonra belirli bir
138
portun switch e erişebildiği fonksiyonu aktif etmek için port güvenliğini
sağlayacağız.Statik mac adres kurulum prosedürü aşağıda listelenmiştir.
1) Port 7 üzerindeki switch e erişmesine izin verilen 00:a0:c5:b3:20:c3 Mac adresli
PC yi port forwarding (port yönlendirme) de kısıtlamak istiyoruz
2) Port Security de port security fonksiyonunu sadece port için devreye alıyoruz.
3) Konfigurasyondan sonra 192.168.1.2 IP adresi ile switch e ping atmak için port 11
i kullanıyoruz. Sonuç port 11 deki PC nin switch e erişemediğini gösteriyor.
4) Sonra port 7 yi kullanarak switch e ping atabiliyorsak istediğimiz sonucu elde etmiş
oluyoruz.192.168.1.2 li switch den yanıt alabiliriz.
139
Switch de VLAN Trunking kullanarak iki switch’i nasıl
bağlarım ?
VLAN trunking olarak configure edilen port portu kullanarak iki switch i
bağlayabiliriz.Switch 1 den VLAN tag frame li PC1 switch 2 deki diğer VLAN tag frame
li PC2 ile VLAN trunking kullanarak haberleşebilir.Örneğimizde ; Switch 1 de port 5’i ,
switch 2 de port port 10’u VLAN trunking port olarak ayarlıyoruz.
Switch 1 deki konfigurasyon şu şekilde olmalıdır:
140
Switch 2 deki konfigurasyon ise şu şekilde olmalıdır:
Switch 1 de , Port 2 yi VLAN 2 untag olarak ayarlıyoruz.
Switch 2 de , Port 6 yı VLAN 2 untag olarak ayarlıyoruz.
Switch 1 IP addresi: 192.168.1.31
Switch 2 IP addresi: 192.168.1.21
Konfigurasyondan sonra , Switch 1 de 2. porttaki PC1’in switch 2 de 6. porttaki PC 2
yi bulabildiğini gözlemleyebiliriz.
141
Switch de link aggregation nasıl kullanılır.?
Link aggregation birkaç fiziksel portu yüksek kapasiteli bir mantıksal linkin içine
gruplamak için bir şemadır.Aşağıda her iki switch deki 1 ve 2 portlar mantıksal
olarak birleştirilerek tek port gibi davranmaları sağlanmıştır.
142
Link Aggregation
GVRP nasıl configure edilir ?
Tanımlama:
Bu senaryoda , Tek şirket içerisinde farklı bölümlere ait bilgisayarlar birbirleri ile
haberleşemezler ve switch lerin bazı portlarını GVRP-aware PC ler ve diğer VLANunaware PC ler için ayırıyoruz.Böylece ağ yöneticisi farklı cihaz ve gereksinimlere
gore VLAN’ı kolaylıkla yönetip,configure edebilir.1 ve 2. kattaki switch ler için ,port 3
143
e bağlı PC static olarak VLAN 10 a katılıyor , port 4 e bağlı PC statik olarak VLAN 20
ye katılıyor ve 1 ve 2. porta bağlı PC ler dinamik olarak GVRP-aware ethernet kartları
üzerinde bu konfigurasyon için belirlenen VLAN 10/20/30 e katılabilirler.Basement
kattaki switch için , port1 e bağlı PC VLAN 30 a katılırken port 3 e bağlı PC dinamik
olarak VLAN 10/20/30 a katılabilir.
Bu senaryo nasıl konfigure edilir :
1. 2. kattaki Switch A için :
Please enter VLAN setting under Advanced Application menusü altındaki VLAN
ayarlarına girin ve aşağıda bahsedilen ekranı getirmek için “static VLAN” a tıklayın.
Ekleme: VLAN 10: port 3, fixed, untag; port 23, fixed, Tx tagging”.
VLAN 20 yi bu switch e ekleyin,
VLAN 20: port 4, fixed, untag; port 23, fixed, Tx tagging.
144
Aşağıdaki ekranı getirmek için VLAN port settings’ e tıklayın.
Port 3 için PVID 10 , port 4 için PVID 20 ayarlamasını yapın. GVRP’yi
ekranın en üstünden ve port 1, port 2, port 23 de etkinleştirin.
2. Kat 1’deki Switch B için :
Lütfen aynı adımları VLAN 10 için takip edin.
VLAN 10: port 3, fixed, untag; port 23, fixed, Tx tagging; port 24, fixed, Tx
tagging”.
145
VLAN 20’yi bu switch’e ekleyin.
VLAN 20: port 4, fixed, untag; port 23, fixed, Tx tagging; port 24, fixed, Tx
tagging.
Aşağıdaki ekranı getirmek için VLAN port setting’e tıklayın.
PVID 10 for port 3, PVID 20 for port 4, and enable GVRP on the top of the
screen and port 1, port 2, port 23, port 24 olarak ayarlayın.
3. Zemin kattaki Switch C için :
VLAN 10: port 23, fixed, untag , statik olarak ayarlayın
VLAN 20: port 23, fixed, untag , statik olarak ayarlayın
146
147
VLAN 30’ u ekleyin.
VLAN 30: port 1, fixed, untag; port23, fixed, untag; port 24, fixed, Tx
tagging.
Port 1 için PVID 30 ayarlayın ve port 3 and port 24 üzerinde GVRP’yi
etkinleştirin.
148
149
Kablosuz (Wireless) Network’ler
Kablosuz network teknolojileri günümüzde kullanıcıların network erişimini
kolaylaştıran, mobil cihazların bir kablo bağlantısı gereksinimi olmadan network ya da
internet erişimine olanak sağlayan, kısacası hayatı kolaylaştıran teknolojilerdir.
Bir kablosuz network’ü oluşturan Access Point (AP) ve bu Access Point’e bağlı olan bir
ya da daha fazla sayıdaki bilgisayarlardır. Bu cihazların oluşturmuş olduğu ortama
BSS ( Basic Service Set) ismi verilir. Yukarıdaki şekilde A, B bilgisayarları ve AP1
access point’i bir BSS oluşturmaktadır. Her BSS, SSID (Service Set IDentifier)
dediğimiz bir isim ile ifade edilir. Yani bir kablosuz network oluştururken ortamdaki
access point üzerinde kablosuz networkümüze bir isim (SSID) vermeliyiz. Bilgisayar
kullanıcıları ortamdaki kablosuz networkleri bu isimler sayesinde birbirinden ayırt
edebilir ve istedikleri kablosuz networklere bağlanabilirler.
Bir access point farklı modlarda çalışabilir. En
temel çalışma modu Access Point mode’dur. Bu
modda access point kablolu networkün bir uzantısı
olarak çalışır. Yani access pointi kablolu networke
erişimi vardır ve kullanıcılar AP üzerinden kablosuz
bir şekilde kablolu networke erişmiş olurlar.
Yandaki şekilde Access Point modunda çalışan bir
kablosuz network görüyoruz
150
Bir diğer çalışma modu ise Bridge mode’dur. Bridge mode iki kablolu network’ü
kablosuz olarak birbirine bağlamak için oluşturulan kablosuz networktür. Aşağıdaki
şekilde bridge modda çalışan access point’leri görüyoruz.
Yine bir diğer çalışma modu Repeater mod’dur. Repeater modda çalışan bir access
point başka bir access point’ten gelen sinyalleri tekrar ederek gönderir ve bu sayede
kapsama alanının artmasını sağlar. Aşağıda repeater modda çalışan bir access point
örneği görüyoruz.
151
Kablosuz Network Standartları
Kablosuz networkler zaman içerisinde yenilenmiş ve calışma hızları giderek
arttırılmıştır. Bu nedenle günümüzde farklı kablosuz network standartları vardır.
Piyasadaki eski ürünler yeni kablosuz network standartlarını desteklemiyebilirler.
Kablosuz network standartlarının bir kısmı 2.4 Ghz’den başlayan bir frekans bandını
kullanırlar, bir kısmı ise 5 Ghz’den başlayan bir frekans aralığını kullanmaktadır.
Kullanılan frekans aralığı önemlidir çünkü bazı frekans aralıkları bazı ülkelerde lisans
gerektiren, izinsiz kullanımı yasa dışı olan frekans aralıklarıdır. Mesala Türkiye’de 2.4
Ghz frekans bandında çalışan ürünlerin kullanımı serbest fakat 5 Ghz frekans
bandında çalışan ürünlerin kullanımı yasa dışıdır. Kullanılan frekansın bir diğer etkisi
kapsama alanı üzerindedir. Kullanılan frekans yükseldikçe kapsama alanı düşer. Yani
5 Ghz frekans bandında çalışan bir ürünün kapsama alanı 2.4 Ghz de çalışan bir
ürüne göre daha azdır.
Günümüzde kullanılan kablosuz network standartları ve bunların çalışma hızları şu
şekildedir.
802.11b
802.11a
802.11g
802.11n
2.4
5
2.4
2.4
Ghz
Ghz
Ghz
/5
11 Mb/sn
54 Mb/sn
54 Mb/sn
300 Mb/sn
2.4 Ghz frekans bandında çalışan 802.11 b/g standartları tam olarak 2.4000-2.4835
GHz aralığında çalışmaktadır ve bu aralık 22 Mhz’lik 13 kanala bölünmüş durumdadır.
Kanalların başlanğıç frekansları arasında 5 Mhz’lik fark vardır.
1. kanal : 2401 – 2423
2. kanal : 2406 – 2428
3. kanal : 2411 – 2433
.
.
152
Yukarda görüldüğü gibi birbirine yakın olan kanallar ortak frekans aralıklarını
kullanmaktadırlar. Mesala 1. kanal ile 3. kanalın 12 mhz’lik çakışan frekansları vardır (
2411 – 2423 arası) Burada bizim için önemli olan nokta çakışan frekansları kullanan
cihazların birbirlerini etkiliyor olmalarıdır. Yani diyelimki bir şirkette kablosuz bir
network kurduk ve kurduğumuz kablosuz network 3. kanalı kullanıyor olsun. Hemen
üst katımızda bulunan bir diğer kablosuz network ise 1. kanalı kullınıyor olsun. Bu iki
kablosuz network birbirlerini etkiliyeceklerdir. Access pointlerden bir tanesi bir data
gönderirken aynı anda diğer access point’te bir data göndermeye çalıştığında
gönderilen veriler bozulacak ve okunamaz hale gelecektir. Bu nedenle
oluşturduğumuz kablosuz networkün hangi kanallı kullandığu önemlidir. Söylemiş
olduğumuz 13 kanaldan birbirleriyle çakışmayan sadece 3 kanalımız vardır, ve
genelde bu kanallar kullanılır. Çakışmayan kanallar 1 , 6 ve 11 numaralı kanallardır.
Bir kablosuz network oluşturmadan önce ortamdaki diğer kablosuz networkleri
incelenmeli, bunların kullandığı kanallar tespit edilmeli ve bunlarla çakışmayan kanal
tercih edilmelidir. Ortamdaki diğer kablosuz networklerin ve bunların kullandığı
kanalların bulunması için Network Stumbler isimli yazılım kullanılabilir. Ücretsiz
olan bu yazılımı google’da aratarak bulabilirsiniz.
Yukarıda standartlar için belirtilmiş olan band genişlikleri paylaşılan band
genişlikleridir. Ortamda birden fazla cihazın aynı anda veri göndermesi durumunda
band genişliği cihazlar arasında paylaşılacaktır. Örnek olarak 802.11g standartında
çalışan bir access point ve bu access pointe bağlı 10 tane bilgisayar olduğunu
düşünelim. 54Mb/sn olan band genişliği bu 10 kullanıcı arasında paylaşılacak ve
kullanıcı başına ortalama 5.4Mb/sn gibi bir band genişliği düşecektir. Bu 5.4 Mb cift
yönlü veri transfer hızının toplamıdır. Tek yön hızını hesaplamak için band genişliğini
2’ye bölersek hız 2.7 Mb/sn olarak hesaplanabilir. Tabi bunlar teorik değerlerdir,
gerçek hayatta sinyal bozulmalarından ve diğer nedenlerden meydana gelen paket
kayıpları gerçek hızın hesaplanan bu hızdan daha düşük olmasına neden olacaktır.
Kablosuz Networklerin Kapsama Alanları
Kablosuz network ürünlerin broşürlerine ya da kullanım kılavuzlarına baktığınızda
genelde kapsama alanları ile ilgili olarak kapalı alanlarda 30-40 metre açık alanlarda
200-250 metre şeklinde ifadeler görürsünüz. Aslında bir kablosuz networkün kapsama
alanını önceden söylemek olanaksız birşeydir çünkü kapsama alanını etkiliyen birçok
faktör vardır. Kablosuz networklerde kullanılan 2.4 Ghz’den başlayan frekans bandı
ortam koşullarından oldukça kolay etkilenen bir frekans aralığıdır. Duvar gibi yüzeyler
sinyali emerek arka yüzeye geçişini engeller. Cam ya da metal yüzeyler yansıma
yaparak sinyalin bozulmasına neden olurlar. Elektrik hatları, elektrik makinaları, ya da
elektromagnatik girişim yapabilecek tüm elektronik cihazlar aynı şekilde sinyalin
bozulmasına neden olurlar. Ortamdaki diğer kablosuz networkler çakışan frekansları
kullanmaları durumunda bizim kablosuz networkümüzü ektilerler. Bazı kablosuz
153
telefonlar aynı frekans aralığını kullandığı için kablosu networkümüzü etkilerler. Bütün
bu faktörler kablosuz networkümüzün kapsama alanını olumsuz şekilde etkiliyebilir ve
kapsama alanının düşmesine neden olabilir.
Kapsama alanını etkiliyecek bir diğer etkende access point üzerinde kullanılan anten
tipidir. Genelde birçok access point üzerinde orta güçte dairesel yayın yapan antenler
bulunur. Bu antenlerin daha güçlü versiyonları ya da yönlü (30 derece, 60 derece
gibi) yayın yapan antenler ile değiştirerek kapsama alanı arttırılabilir.
Daha öncede belirtiğimiz gibi kapsama alanının önceden söylenmesi imkansızdır.
Yapılması gereken şey ortam analizidir. Kapsama alanının belirlenmesini istediğimiz
ortamda access pointleri kurduktan sonra mobil cihazlar ile gezinerek ortamdaki
sinyal seviyeleri ölçülmeli ve kapsama alanı bu şekilde belirlenmelidir. Daha önce söz
ettiğimiz Network Stumbler isimli program ile sinyal seviyesini ölçmek mümkündür.
Kapsama Alanının Genişletilmesi
Kablosuz networklerde kapsama alanını genişletmek için kullanabileceğimiz iki tane
yöntem var. Bunlardan özellikle tercih etmemiz gereken yöntem ilk olarak söz
edeceğimiz yöntem olacaktır. İkinci yöntemi sadece çok mecbur kaldığımız
durumlarda kullanmalıyız.
Kapsama alanını genişletmek için kullanabileceğimiz ilk yöntemimizde ortamda
kullandığımız tüm access pointler kablolu network’e bağlılar. Yani her access pointten
switch’e giden bir ethernet kablosu var. Ortamdaki tüm access pointlerde
oluşturduğumuz kablosuz networkün ismini (SSID) aynı ayarlıyoruz. Böylece bir cihaz
bir access pointin kapsama alanından çıkıp ötekine girdiğinde otomatik olarak diğer
access pointe bağlanıyor. Aşağıdaki şekilde de görebileceğiniz gibi access pointlerin
kapsama alanlarında minimum %10’luk bir kesişme alanı bırakıyoruz böylece cihazlar
bağlantıları kopmadan diğer access pointin kapsama alanına geçebilirler. Son olarak
dikkat etmemiz gereken nokta access pointlerin kullandığı kanalların doğru şekilde
ayarlanması olacaktır. Şekilde de görülebildiği gibi kapsama alanları kesişen access
pointler birbirleriyle çakışma yapmayacak kanalları kullanacak şekilde ayarlanmalıdır.
Eğer ortamdaki access pointlerin hepsini ethernet ortamına bağlama imkanımız varsa
kapsama alanını genişletmek için bu yöntemi kullanmalıyız. Bu yöntem en az sayıda
access point kullandığımız ve access pointlerin birbirini etkilemediği bir yöntemdir.
Kapsama alanını genişletmek için kullanabileceğimiz bir diğer yöntem access
pointlerin hepsini kablolu bir şekilde switchlere bağlamak yerine bazılarını repeater
mod’da çalıştırarak sinyali kuvvetlendirmesini sağlamaktır. Bu yöntemde access
pointler birbirlerinin kapsama alanları içerisinde olmak durumundadır. Bu yüzden
kapsama alanları arasında 55% - 60% civarında bir kesişme vardır.
154
155
Kablosuz Netowklerde Güvenlik
Kablosuz network teknolojisi hayatımızı kolaylaştıran gerçekten güzel bir teknoloji
fakat eğer kablosuz networklerin güvenliği sağlanmaz ise bilgi hırsızlıkları ya da izinsiz
network erişimleri gibi durumlar başımızı ağrıtabilir. Kablosuz networkleri güvenli bir
hale getirmek için kullanabileceğimiz birçok yöntem var. Şimdi bu yöntemleri tek tek
inceliyelim ve hangisi gerçekten ne derece güvenlik sağlıyor bakalım.
1. MAC Adres Filitrelemesi
MAC adres filitrelemesi sayesinde bir access pointe bağlanabilecek kullanıcıları MAC
adres bazlı sınırlıyabiliriz. MAC adresleri ethernet kartlarının kendilerine özel olan
adreslerdir ve üretici tarafından kartın üzerine işlenir. Her MAC adresi eşsizdir yani
dünya üzerinde aynı mac adresinden bir tane daha yoktur. Fakat MAC adreslerini bir
takım yazılımlar vasıtasıyla değiştirmek oldukça kolaydır. Bu yüzden MAC adres
filitrelemesi yaptığımız zaman biraz bilgili bir kullanıcı izin verdiğimiz MAC adresi
bulabilir ve kendi MAC adresini değiştirerek networke erişim gerçekleştirebilir. Aynı
zamanda MAC adres filitrelemesi yaptığımızda paketler şifrelenmeden iletileceği için
3. şahıslar tarafından paketlerin okunması mümkündür. Bu nedenlerden dolayı MAC
adress filitrelemesi gerçek anlamda kablosuz networkümüzün güvenliğini sağlayan bir
uygulama değildir. Konfigürasyon aşamasında da izin verilecek her cihazın MAC
adresinin tek tek eklenmesi büyük ortamlar için konfigürasyon aşamasını zorlaştırır.
2. WEP Şifreleme (WEP Encryption)
WEP şifrelemesi sayesinde kablosuz ortamda bilgisayarlar ve access point arasındaki
bütün trafik şifrelenerek gönderilir. Bu sayede paketleri sadece şifreyi bilen cihazlar
okuyabileceklerdir. Access point ve bilgisayarlar üzerinde ortak bir şifre ayarlanması
gereklidir. Şifreleme işlemi cihazlar üzerinde ayarlanan bu şifreler ile gerçekleştirilir.
64-bit, 128-bit gibi farklı şifreleme seviyeleri vardır. Şifreleme seviyesi artıkça
şifreleme işlemi daha güvenli hale gelir.
WEP şifrelemesinin mantığı oldukça güvenli gözüksede şifreleme işleminde kullanılan
algoritmanın kolay kırılabilir oluşu ve sabit şifreler ile şifreleme işleminin gerçekleşiyor
oluşu bu algoritmanın günümüz için yeterli bir güvenlik sağlayamamasına neden
olmaktadır. Bilgili bir kullanıcı tarafından WEP şifrelemesi kolay bir şekilde kırılabilir ve
sonrasında ortamdaki kullanıcıların trafiği okunabilir ya da networke erişim
gerçekleştirilebilir.
156
3. 802.1x Authentication
802.1x authentication (kimlik doğrulama) methodu iki aşamadan oluşan bir güvenlik
çözümü sağlar. İlk aşama kimlik doğrulama aşamasıdır. Kablosuz networke erişmek
isteyen bir kullanıcı kendisi için tanımlanmış olan kullanıcı adı ve şifre ikilisini doğru
bir şekilde yazdıktan sonra bağlantı izni almış olur. Access point kullanıcı adı şifre
ikilisini kendi üzerinden kontrol edebileceği gibi istenirse harici bir Radius Server
üzerinde de gerçekleştirebilir. Radius Server kullanıcı adı ve şifre ikililerinin
kontrolünün yapılabildiği bir sunucudur. Özellikle çok sayıda access pointin olduğu
ortamlarda her access point’te kullanıcı adı ve şifreleri tek tek oluşturmak yerine
merkezi bir radius server kullanarak kimlik doğrulama aşamasını kolaylaştırmak
mümkündür. Kimlik doğrulandıktan sonra AP ile bilgisayar arasında bir şifreleme
işlemi gerçekleştirilir. Burada şifreleme algoritması olarak WEP şifrelemesi kullanılır.
Daha önceden belirttiğimiz gibi WEP güvenli olmayan bir algoritmadır. Bu yüzden
üçüncü şahıslar tarafından şifrenin kırılması ve gönderilen data’nın okunması
mümkündür. Fakat kimlik doğrulama aşaması tamamen ayrı olduğu için şifreyi kıran
kullanıcı elde ettiği bilgileri network’e erişim sağlamak için kullanamaz.
4. WPA-PSK / WPA2-PSK
WPA ve WPA2’de 802.1x authentication’da olduğu gibi iki aşamalı bir güvenlik sistemi
vardır. İlk aşama kimlik doğrulama aşamasıdır ve WPA-PSK/WPA2-PSK methodlarında
bu işlem Pre Shared Key (PSK) diye isimlendirilen önceden belirlenmiş şifreler ile
gerçekleştirilir. Yani Access point üzerinde bir PSK ayarlarız ve kablosuz networke
bağlanmak isteyen kullanıcı aynı PSK’yı yazarak bu network’e eriş hakkı sağlamış olur.
Erişim hakkı sağlandıktan sonra access point ile kullanıcı bilgisayarı arasında bir
şifreleme işlemi gerçekleştirilir. Buradaki en büyük avantaj şifreleme işleminde
kullanılan şifrelerin kullanıcı tarafından ayarlanan sabit şifreler olmayışı; her seferinde
otomatik olarak belirlenen değişken şifreler oluşudur. WPA ve WPA2 methodlarında
kullanılan şifreleme algoritmaları WEP şifrelemesine göre çok daha güvenlidir ve
günümüz şartlarında kırılmaları imkansıza yakındır. WPA’da TKIP , WPA2 de ise AES
diye isimlendirilen şifreleme algoritmaları kullanılır. WPA-PSK ya da WPA2-PSK
günümüz kablosuz networklerinin güvenliğini sağlamak için yeterli methodlardır.
Burada dikkat edilmesi gerek tek nokta PSK’nın uzun ve kolay bulunamayacak bir
şifre olarak ayarlanmasıdır.
157
5. WPA / WPA2
WPA ve WPA2’nin yukarıdaki PSK’lı olan versiyonlarından farklı kimlik doğrulama
işleminin PSK ile değil kullanıcı adı ve şifreler ile gerçekleştiriliyor oluşudur. 802.1x
authentication’da belirttiğimiz gibi burada da her kullanıcının kendisine özel bir
kullanıcı adı ve şifresi vardır. Bu kullanıcı adı şifre doğrulama işlemleri bir Radius
Server üzerinden gerçekleştirilir. Kimlik doğrulama aşamasında tek bir şifre yerine
kullanıcı adı ve şifre şeklinde bir ikilinin oluşu bu algoritmaların PSK’lı versiyonlarına
göre çok daha güvenli olmalarını sağlar.
158
Kablosuz Network Konfigürasyon Örnekleri
Bu bölümde kablosuz network kurulumları, kablosuz networklerde güvenlik
ayarlarının yapılması gibi konularla ilgili örnek uygulamalarımız olacak.
Konfigürasyonlar NWA-3100 serisi access pointler baz alınarak gerçekleştirilmiştir.
Diğer ZyXEL ürünlerinde de konfigürasyonlar benzer şekillerde gerçekleştirilmektedir.
Örnek uygulamalarımızda web arabiriminin kullanılarak konfigürasyonların yapılışı
gösterilecektir.
Not: Access pointlerin default IP adresleri 192.168.1.2 olarak ayarlanmıştır. Bu
yüzden web arabirimlerine http://192.168.1.2 adresinden erişiyoruz. Username:
Admin , Password: 1234
Bir Kablosuz Network Oluşturmak
Access pointler üzerinde kolay bir şekilde bir kablosuz network oluşturmak mümkün.
Bir kablosuz networkü oluşturmak için temelde ayarlamamız gereken iki önemli
değer var. Bunlardan ilki kablosuz networkümüzün ismi yani SSID’si, diğeri ise
kablosuz networkümüzün çalışacağı kanal numarası.
Access pointin web arabirimine bağlandıktan sonra “WIRELESS > Wireless”
Karşımıza yukarıda gördüğümüz gibi bir ekran açılacak. “Operating Mode” yani
çalışma modu kısmında “Access Point” seçeneğinin seçili olması gerekiyor. Hemen
altındaki “802.11 Mode” kısmı kablosuz networkümüzün çalışacağı standartı
belirlememizi sağlıyor. NWA-3100 serisi cihazlar hem 802.11 b/g hemde 802.11a
159
standartını destekliyorlar. 802.11a standartının farklı bir frekans aralığını kullandığını
ve kullanılan frekans aralığının Türkiye’de serbest olmadığını hatırlatalım. Aynı
zamanda kullanıcı tarafındaki kablosuz network kartlarının bir çoğu 802.11a’yı
desteklememektedir. Bu yüzden burada “802.11b+g” seçeneğini seçiyoruz. “Super
Mode” seçeneğinin işaretli olması kablosuz networkümüzün daha hızlı çalışmasını
sağlayacaktır. “Choose Channel ID” menüsünden kullanılacak kanalı seçiyoruz.
Unutmayın ortamda aynı kanalı kullanan başka kablosuz networklerin olması bizim
networkümüzü etkiliyecektir. Ortamdaki diğer kablosuz networkleri kendimiz
tarayabilir ya da “Scan” tuşuna basarak access pointimizin bu işi bizim adımıza
yapmasını sağlayabiliriz. “SSID Profile” seçeneğine kadar olan ayarlar default
şekilde bırakılmalı. “SSID Profile” kısmından herhangi bir seçeneği işaretliyoruz. Bir
sonraki ekranda seçtiğimiz SSID ile ilgili ayarları yapacağız; kablosuz networkümüzün
ismi gibi. “Enable Breathing LED” cihaz üzerindeki mavi ışığın yanmasını sağlıyor.
Eğer ortamda bridge mode’da çalışan başka access pointlerimiz varsa ve bu access
pointlerin bir şekilde ethernet bağlantıları aynı networkte buluşyorsa (aynı switche
bağlı olmaları gibi) oluşturduğumuz bu yapı döngülere neden olabilir. “Enable STP”
seçeneğini işaretlersek switching konusundan hatırlayacağımız spanning-tree
protokolü devreye girecektir ve döngülerin oluşmasını engelleyecektir. Ortamda
access point modunda çalışan birden çok access pointimiz varsa ve bu access pointler
arasında roaming özelliğinin olmasını istiyorsak (Roaming: kullanıcının bir access
pointin kapsama alanından çıkıp diğer access pointin kapsama alanına girdiğinde
bağlantısı kopmadan geçiş işleminin gerçekleşmesi) “Roaming Active” seçeneğini
işaretliyoruz. (Not: Roaming özelliğinin çalışabilmesi için dğer access poinglerde de
aynı SSID ismi kullanılmalı.)
Gerekli ayarları yaptıktan sonra “Apply” tuşuna basarak ayarları uyguluyoruz.
“SSID Profile” seçeneğinden seçmiş olduğumuz SSID ile ilgili ayarları yapmak için
“WIRELESS > SSID” menüsüne giriyoruz.
Şekilde de görüldüğü gibi bir çok SSID profili bulunuyor. “Wireless” menüsünde
seçmiş olduğumuz profili işaretliyoruz ve aşağıdaki “Edit” tuşuna basıyoruz.
Karşımıza aşağıdaki gibi bir ekran açılıyor.
160
Bu ekran da “SSID:” kısmına kablosuz networkmüzün ismini yazacağız. “Hide
Name” kısmı “Disable” olarak kalmalı aksi takdirde kablosuz networkün ismi
gizlenecektir ve kullanıcılar ortamdaki networkleri taradıklarında bu networkü
göremeyeceklerdir. Böyle bir durumda kullanıcı tarafında bu networkün elle
eklenmesi ve isminin yazılması gerekiyor. “Security” ve “Radius” profil
seçeneklerinden oluşturduğumuz güvenlik profillerinden birini seçerek kablosuz
networkümüzde şifrelemeyi aktif hale getirebiliriz. Şifreleme işlemleriyle ilgili örnek
uygulamarı ileriki sayfalarda bulabilirsiniz. Diğer ayarları oldukları gibi bırakıp “Apply”
tuşuna basıyoruz ve artık kablosuz networkümüz çalışır hale gelmiş oluyor.
161
Birden Çok Kablosuz Network Oluşturmak
NWA-3100 ve NWA-3550 serisi gibi ileri seviye access pointlerin güzel özelliklerinden
birisi tek bir access point üzerinde birden fazla kablosuz network oluşturabiliyor
olmamız. Düşünün bir firmada firma çalışanları kablosuz olarak networke
bağlanıyorlar, aynı zamanda kullandıkları kablosuz IP Phone’lar ve dışarıdan gelen
misafirler de aynı access point üzerinden networke erişecekler. Güvenlik açısından bu
üç farklı trafiğin aynı ortamda olmaması lazım. Misafir olarak gelen bir kullanıcı belki
şifresiz bir şekilde access pointe bağlanarak sadece internet erişimi sağlarken şirket
çalışanı şifreli olarak şirket networküne erişebilir. Switchler üzerinde VLAN’ler ile
gerçekleştirdiğimiz bu işlemi access pointler üzerinde birden çok kablosuz network
oluşturarak gerçekleştiriyoruz. Bu işlemi gerçekleştirebilmek için access pointimizin
VLAN desteği olan bir switch’e bağlı olması gerekiyor. Çünkü oluşturduğumuz her
kablosuz network switch tarafına ayrı bir VLAN olarak taşınır.
Bu işlemi gerçekleştirmek için yapmamız gereken “WIRELESS > wireless”
menüsünde çalışma modu olarak “MBSSID” seçeneğini seçmek.
162
“MBSSID” seçeneğini seçtiğimizde birden çok SSID profili seçebileceğimiz bir kısım
açılıyor (“Select SSID Profile”). Burada aktif olmasını istediğimiz SSID’lerin
yanındaki kutucuğu işaretlememiz yeterli. SSID’ler ile ilgili konfigürasyonlar önceki
örneğimizde gördüğümüz gibi “WIRELESS > SSID” menüsünden
gerçekleştirilmektedir.
Access Point’i Bridge Mode’da Çalıştırma
Access Pointleri Bridge mode’da çalıştırarak iki kablolu networkü kablosuz olarak
birbirine bağlayabiliriz. Mesala birbirlerine yakın mesafede olan iki binayı düşünelim.
Bu iki bina arasında kiralık bir hat alıp her ay bu hatta belli bir ücret ödemek yerine
binalar arasında kablosuz bir bağlantı kurabiliriz. Yapılması gereken tek şey iki
binayada birer adet bridge mode’da çalışan bir access point kurmak olacaktır. Bu tür
senaryolar için dış ortamlar için üretilmiş NWA-3550 serisi gibi access pointler daha
uygun olacaktır. Mesafe fazlayla harici tek yönlü antenler kullanarak bağlantı
gerçekleştirilebilir.
Access point’leri bridge mode’da çalıştıracağımız zaman iki alternatifimiz var. Sadece
bridge olarak çalışmaları ya da hem bridge hemde AP olarak çalışmaları. Sadece brige
mode’da çalışrıtdığımızda herhangi bir kullanıcı bu access pointlere bağlanamaz,
sadece AP’ler arası iletişim gerçekleşebilir. AP+Bridge Mode’da çalıştırdığımız zaman
163
ise access point’ler arasındaki iletişim dışında kullanıcılarda aynı access pointler
üzerinde networke erişebilirler.
Sadece bridge olarak çalıştırmak için yapmamız gereken “WIRELESS > wireless”
menüsüne girip “Operating Mode” kısmından “Bridge/Repeater” seçeneğini
seçmek ve “Remote Bridge MAC Address” kısmına diğer access pointin MAC
adresini yazmak.
Access pointlerin MAC adreslerini üzerlerindeki etiketlerden ya da “status”
menüsünden öğrenebilirsiniz. MAC adresini yazdığımız satırın yanındaki “Active”
kutucuğu işaretli olmalı. “Enable WDS Security” seçeneği işaretlenmediği durumda
trafik şifrelenmez. Trafiğin şifrelenmesi için bu seçeneği işaretliyoruz ve MAC adresini
yazdığımız yerin sağındaki “PSK” kutusuna ortak bir şifre yazıyoruz.
Eğer bridge çalışma modu dışında aynı zamanda cihazın bir access point olarak
çalışmasını istiyorsak “Operating Mode” kısmından “AP+Bridge” seçeneğini
seçmemiz gerekiyor. Diğer ayarlarda bir değişiklik yok.
164
Access Point’i Repeater Mode’da Çalıştırma
Repeater mode’da çalışan access pointin ethernet bağlantısının olmadığını, bir başka
access pointten gelen sinyalleri güçlendirerek ilettiğini söylemiştik. Genelde kapsama
alanını genişletmek için ideal bir yol olmasada zaman zaman kablo çekme imkanımız
olmayan durumlarda repeater modu kullanabiliyoruz. Böyle bir durumda yapmamız
gereken “WIRELESS > wireless” menüsüne girip “Operating Mode” kısmından
“Bridge/Repeater” seçeneğini seçmek ve “Remote Bridge MAC Address”
kısmına diğer access pointin MAC adresini yazmak.
MAC adresini yazdığımız satırın yanındaki “Active” kutucuğu işaretli olmalı. “Enable
WDS Security” seçeneği işaretlenmediği durumda trafik şifrelenmez. Trafiğin
şifrelenmesi için bu seçeneği işaretliyoruz ve MAC adresini yazdığımız yerin sağındaki
“PSK” kutusuna ortak bir şifre yazıyoruz.
165
WPA-PSK / WPA2-PSK Şifreleme İşlemleri
Kablosuz networklerde şüphesiz en önemli nokta güvenlik. Güvenliğin sağlanması için
trafiğin şifrelenmesi ve sadece yetkisi olanlar tarafından bu şifrenin çözülebilmesi
gerekiyor. Daha önceden de bahsettiğimiz gibi WPA ve WPA2 şifrelemeleri oldukça
güvenilir. Bu konfigürasyon örneğimizde PSK’lar (önceden paylaşılmış şifreler)
kullanılarak WPA-PSK veya WPA2-PSK uygulamaları nasıl yapılır onu inceleyeceğiz.
“WIRELESS > Security” menüsüne giriyoruz.
Açılan ekranda bir çok güvenlik profili bulunuyor. Oluşturduğumuz farklı kablosuz
networkler için farklı şifreleme algoritmaları ya da farklı şifreler kullanmak bu profiller
sayesinde gerçekleştiriliyor. Profillerden herhangi bir tanesini seçerek aşağıdaki
“Edit” tuşuna basıyoruz ve karşımıza yeni bir ekranda ilgili profilin konfigürasyonu
açılıyor.
166
Açılan bu ekranda “Security Mode” kısmından kullanmak istediğimiz algoritmaya
göre WPA-PSK, WPA2-PSK, ya da WPA2-PSK-MIX seçeneklerinden birini seçeceğiz.
WPA2 daha güvenilir olmasına rağmen bazı eski cihazların bu algoritmayı
desteklememesinden dolayı WPA kullanmak zorunda kalabiliyorduk. WPA2-PSK-MIX
ise buna bir çözüm sunuyor; eğer client tarafı WPA2 destekliyorsa öncelikli olarak o
tercih ediliyor, desteklemiyorsa WPA şifrelemesi yapılıyor. İstenilen seçim yapıldıktan
sonra “Pre-Shared Key” kısmına minimum 8 haneli şifremizi yazıyoruz. Kullanıcılar
kablosuz networke bağlanmak istediklerinde kendilerinden bu şifreyi girmeleri
istenecektir.
Güvenlik profili oluşturulduktan sonra “WIRELESS > wireless” menüsündeki
“Security” kısmından ilgili profil seçilerek işlem tamamlanabilir.
RADIUS İle WPA / WPA2 şifreleme
Büyük işletmeler kablosuz network erişimi için ortak bir şifre kullanımı yerine kimlik
doğrulama işleminin bir RADIUS Server üzerinden gerçekleştirilmesini isteyebilirler.
Bu çok daha güvenli bir işlem olacaktır. Access pointlerimiz üzerinde bu işlemi kolay
bir şekilde gerçekleştirebiliriz. Tabi ortamda kurulu ve çalışır vaziyette olan bir
RADIUS server olmalı. RADIUS Server yazılımlarının ücretsiz versiyonları internet
üzerinden kolaylıkla bulunabilir ya da windows server versionları içerisindeki radius
server özelliği kullanılabilir. Access point tarafındaki konfigürasyonumuz şu şekilde:
“WIRELESS > Security” menüsünden bir profili seçip “Edit” tuşuna basıyoruz.
“Security Mode:” kısmından WPA ya da WPA2 seçeneğini seçiyoruz.
167
Daha sonra “WIRELESS > RADIUS” menüsüne giriyoruz.
Farklı kablosuz networkler için farklı RADIUS serverları kullanmak mümkün. “Index”
kısmından seçtiğimiz numaralar sayesinde farklı RADIUS konfigürasyon profilleri
oluşturabiliriz. Her profilde birincil ve yedek olmak üzere iki radius server tanımlamak
mümkün. Oluşturduğumuz profile bir isim verdikten sonra “Primary” başlığı altında
yer alan “RADIUS Server IP” kısmına RADIUS Server’ın IP adresini yazıyoruz. (Not:
Öncelikli olarak radius server’ın AP’ye ulaşıp ulaşamadığını ping atarak test etmekte
fayda var). RADIUS server’ın kullandığı port numarasını belirtip daha sonra “Share
Secret” kısmına RADIUS ile access point arasında kullanılacak ortak bir şifre
yazıyoruz. Varsa benzer ayarlar yedek RADIUS sever içinde “Backup” başlığı altında
yapılabilir. Ayarları yaptıktan sonra “Active” kutucuğunu işaretliyerek “Apply”
tuşuna basıyoruz. “Accounting” ifadesi geçen ayarlar kimlik doğrulaması ile ilgili
işlemler hakkında RADIUS server üzerinde kayıt tutulmasını sağlar. Tabiki RADIUS
serverın accounting desteğinin olması gerekiyor. Opsiyonel olarak accounting ile ilgili
ayarlarıda aynı şekilde yapabiliriz.
168
ZyAIR G-570S Kurulum ve Konfigürasyonu
ZyXEL G-570S Süper G ve Turbo G kablosuz teknolojileri ile dördü bir arada bir erişim
noktası(Access Point)’dır . Access Point (Erişim Noktası), repeater (Tekrarlayıcı),
bridge(Köprü) ve wireless client (kablosuz istemci) fonksiyonları size G-570S’i değişik
ağ yapılandırmalarında kullanmanıza izin verir. Süper G ve Turbo G teknolojileri
toplam kablosuz data alışverişini artırır.
G-570S kablosuz ağ alanınızı genişletmek için bridge ( köprü ) ve repeater (
tekrarlayıcı ) olarak çalışabilir.G-570s’i ayrıca başka bir erişim noktası üzerinden
kablolu ağa erişim içinde kullanabilirsiniz.
G-570S hareketli kullanıcılara yüksek güvenlikli kablosuz bağlantı vermek için IEEE
802.1x, WEP data şifreleme, WPA (Wi-Fi Protected Access), WPA2 ve MAC adres
filtrelemeyi kullanır.Hem IEEE 802.11b hem de IEEE 802.11g uyumlu kablosuz
cihazlar G-570S ile çalışabilir. Bunlara ek olarak G-570S’i kurmak ve ayarlamak
kolaydır.
G-570S’in her dört mod için uygulaması ve ayarları aşağıda anlatılacaktır.
ZyAIR G-570S Access Point (Erişim Noktası ) için Web
Konfigürasyonu
Aşağıdaki ağ yapılandırılmasında görüldüğü üzere kablosuz ağ kullanıcıları Access
Point olarak çalışan G-570S’e kablosuz olarak bağlanıp onun üzerinden internete
bağlanmaktadırlar.Bununla ilgili G-570S üzerinde yapılması gereken konfigürasyon
aşağıda anlatılmıştır.
169
Cihaza bağlanmak için öncelikle web browserın adres çubuguna cihazın default IP si
olan 192.168.1.2 yazılır.
Gelen şifre ekranına default password olarak “1234” girilir.
Bir sonraki ekranda G-570S’i konfigure etmek için hangi Dil seçeneğini kullanacağımız
soruyor.Burda English’i seçiyoruz ve Apply butonuna basarak ilerliyoruz.
170
Şimdiki gelen ekranda hızlı yapılandırma için Go Wizard Setup Seçeneğini seçebilir
veya geniş ve ayrıntılı bir yapılandırma yapmak için Go Advanced Setup seçeneğini
seçebilirsiniz.Biz burda Go Wizard Setup seçeneğini seçerek Apply butonuna
basıyoruz.
Şimdiki ekranda IP yapılandırılması için ayarların yapıldığı ekranı görüyorsunuz.Eğer
özel bir konfigürasyonunuz yok ise IP adresini değiştirmeyin.Biz değiştirmeden Next
butonuna basıyoruz.
171
SSID kablosuz ağınızı tanımlamak için verilen bir isimdir.Bu ismin ortamdaki başka
bir kablosuz ağda kullanılmaması önerilir.Channel de haberleşmenin gerçekleşmesini
istediğiniz kanalı seçebilirsiniz. Biz burda bir değişiklik yapmadan Next butonuna
basarak ilerliyoruz.
Security Settings kısmında , haberleşmenin şifreli olmasını isterseniz, istediğiniz
şifreleme yöntemini seçebilirsiniz.Buradaki şifreleme tiplerini kullanabilmek için
kablosuz alıcınızın da bu şifreleme tiplerini desteklemesi gerekiyor.Biz burda WEP
şifrelemeyi seçiyoruz.Bu seçimden sonra WEP şifreleme ile ilgili ayar ekranı geliyor.
172
G-570S 64,128 ,156 bit şifrelemeyi destekler. 64 bit için 5 ASCII veya 10
hexadisemal, 128 bit için 13 ASCII veya 26 hexadisemal , 156 bit için 16 ASCII veya
32 hexadisemal karakter girilmelidir. Karşılıklı haberleşmenin sağlanabilmesi için
Client tarafında da bu şifrenin girilmesi gerekmektedir. Biz burda 64 bit şifreleme
seçiyoruz ve 5 karakterli şifremizi giriyoruz.Devam etmek için Next butonuna
basıyoruz.
173
174
Gelen ekran yaptığımız ayarların özetini gösteren bir doğrulama ekranıdır. Bu gelen
ekrandaki ayarların özetinde bir sorun yok ise işlemi bitirmek için Finish butonuna
basıyoruz.
Finish butonuna bastıktan sonraki ayarların kaydedilmesi sürecinde yukardaki ekranı
göreceksiniz.Cihaz yaptığınız ayarları kaydedittikten sonra otomatik olarak aşağıdaki
Status ekranını getirecektir.Bu ekranda cihaz hakkındaki genel bilgileri
görebilirsiniz.Ayrıca cihaza bağlanmış olan kullanıcıları Summary menüsü altındaki
View Association List linkine tıklayarak gözlemleyebilirsiniz.
175
Sahip oldugunuz kablosuz PCI, PCMCIA veya USB kartı kullandıgınız cihaza ( PC veya
notebook ) tanıttıktan sonra ister kendi utility ile ister windows un kendi utility ile site
surver taraması yaptırdıgınızda ortamdaki Access Point (Erişim Noktası)’nı
bulacaktır.Bulduğu bu yayına ağ şifresini girerek otomatik bağlanabilirsiniz.
G-570S’in AP+Repeater modda ayarlanmasını
Şimdi ikinci olarak 2 Adet G-570S’in AP+Repeater modda ayarlanmasını
göreceğiz.Aşağıdaki şekilde de göreceğiniz üzere 2 adet G-570S kendi etraflarında ki
kullanıcılara kablosuz yayın yaparken aynı zamanda kendi aralarında da kablosuz
haberleşebilmektedir.Bu şekilde birinci
G-570S e kablosuz bağlı bir kullanıcı ikinci
G-570S e bağlı diğer kullanıcı ile haberleşebilir.
Öncelikle
176
birinci G-570S’in AP+Repeater ayarlanmasını gösterelim.Bunun için sırası ile aşağıdaki
adımları sırası ile yapmalısınız:
1- Cihaza Web arayüzünden eriştikten sonra ana menüdeki G-570S başlığı altındaki
Wireless bölümüne girin.
2. Daha sonra aşağıdaki ekrandada görüldüğü gibi Operation Mode açılan liste
kutusundan AP+Repeater seçin.
3. SSID bölümüne birinci G-570S in lokaldaki kablosuz ağını tanımlamak için 32
karaktere kadar bir isim girin.Kablosuz kullanıcılar bu kablosuz ağı kendi alıcılarında
bu isimle göreceklerdir.
4. Channel alanından lokalde kullanmak istediğiniz kablosuz ağın kanalını seçin.
5. WDS Settings alanının altındaki Remote MAC Address 1 bölümüne ikinci G570S in MAC adresini yazın.Cihazların kendi MAC adresleri Local MAC Address
sütununun sağ tarafında yazılıdır. Diğer cihazın kutusunun alt kısmına bakarak veya
bu cihazın web arayüzünden Local MAC Address bölümüne bakarak MAC adresini
yazabilirsiniz.Menüden de göreceğiniz üzere bir G-570S’i i 4 tane G-570S ile
haberleştirebiliyoruz.
6. Yaptığınız değişiklikleri kaydetmek ve ayarlamayı bitirmek için Apply butonuna
basın.
177
Şimdi ikinci G-570S deki ayarlamaları aşağıda görüldüğü gibi yapabilirsiniz.Burada tek
farklılık olarak Remote MAC Address
bölümüne karşı cihazımız olan birinci G570S’in MAC adresini yazmış olacağız.Buradaki AP ayarlarını istediğiniz gibi
değiştirebilirsiniz.
Apply butonuna basıp ayarlarınızı kaydettiğinizde artık 2 adet G-570S hem
etraflarındaki kullanıcılara kablosuz ayın yapacak hem de karşıdaki diğer G-570S ile
haberleşebilecektir. Böylece birinci G-570S’e bağlı bir kullanıcı önce kablosuz olarak
birinci G-570S’e gelecek.Daha sonra iki G-570S’in arasındaki kablosuz hattı kullanarak
ikinci G-570S’e ulaşacak.Daha sonra da ikinci G-570S üzerinden ikinci G-570S’e bağlı
diğer kullanıcıya erişecek.
G-570S’in Bridge Modda Ayarlanması
Bu uygulama örneğindeki amaç aşağıdaki şekilde de görüldüğü üzere 2 adet G-570S
ile iki farklı kablolu ağı kablosuz olarak birbirine bağlamaktadır.G-570S’leri bu modda
çalıştırdığınızda bu cihazlar sadece kendi aralarında haberleşebileceklerdir.Ortamdaki
kablosuz ağ kullanıcılarına hizmet vermeyeceklerdir.Bu uygulamadaki konfigurasyon
bir önceki AP+Repeater konfigürasyonu ile hemen hemen aynıdır.Tek farklılık
güvenlik ile ilgili yaptığınız ayarlar bu iki cihaz arasındaki bağlantıda geçerli
olacaktır.Bir önceki uygulamada güvenlik ile ilgili yapılan ayarlar sadece cihazların AP
uygulamasını etkilemektedir.Aradaki Repeater bağlantı için bir güvenlik
koyulamamaktadır.Bu bridge modunda ise iki cihaz arasındaki kablosuz bağlantı
şifrelenebilmektedir.
Bridge mod uygulamasına ait konfigurasyon örneği aşağıda gösterilmiştir.Her iki
cihazda Bridge mod seçildikten sonra her iki cihazın MAC adresleri karşılıklı olarak
birbirlerine girilir.Bu bağlantıda güvenlik yapılması isteniyorsa Security ve MAC
Filter kısımlarından bu ayarlamalar yapılabilir.
Birinci G-570S’in konfigürasyon ekranı:
İkinci G-570S’in konfigürasyon ekranı:
178
179
G-570S’in Client Modda Ayarlanması
Bu uygulama örneğinde aşağıdaki şekilde de görüldüğü üzere G-570S bir kablosuz
alıcı adaptör gibi davranmaktadır.Bu modda G-570S yayın yapan bir AP den aldığı
yayını kablo ile bağlı olduğu kullanıcı bilgisayarına aktarabilmektedir.
Bu uygulamaya ait G-570S üzerinde yapılması gereken konfigürasyon örneği
aşağıdaki şekilde gösterilmiştir.
180
Bu ekranda bağlanmak istediğimiz ağa ait ayarları kendimiz manuel olarak
giriyoruz.Diğer kablosuz ağ adaptörlerinde olduğu gibi ortamdaki kablosuz ağları ve
güvenlik özelliklerini otomatik görebileceğimiz ve bu ağa otomatik bağlanabileceğiniz
bir ekran bulunmamaktadır.Bu yüzden bağlanacağımızın ağın SSID , channel (kanal)
ve güvenlik ayarlarını bilmeniz ve bu değerleri cihazın web arayüzünden manuel
olarak girmeniz gerekmektedir.
Cihazınızı bu moda aldıktan sonra ortamdaki ağları ve bu ağlara ait genel bilgileri ana
menüdeki view association list linkine tıklayarak görebilirsiniz.
181
MESAFE
Zyxel G-570S nin kapsama alanı; 1 adet 2 dBi lik dahili omni anteni ile indoor da
50m – 80 metre arası ile outdoor da 150-300 metre dir.Bu mesafede dairesel
bir yayın yapar.
Zyxel G-570S cihazına harici antenler takabilirsiniz.Taktığınız antenin gücüne gore
mesafeyi artırabilirsiniz.
Yukarda verilen değerlerin hepsi açık alan ( line of sight ) için
geçerlidir.Ortam koşullarına bağlı olarak bu değerler değişebilir.Bu çok
önemli bir husustur.
182
IP DSLAM ve Hot Spot Gateway’ler
IP DSLAM (Digital Subscriber Line Access Multiplexer)
DSLAM tanımını kısaca dsl bağlantısının sonlandırıldığı bir tür switch olarak yapabiliriz.
Genellikle servis sağlayıcı tarafında kullanılan bu cihazlar üzerinde kullanıcılardan
gelen DSL hatları sonlanır ve data buradan internet bağlantısının gerçekleştireleceği
bir router’a aktarılır. Aynı zamanda bazı DSLAM’lar üzerinde bulunan dahili spliterlar
sayesinde telefon hattı ile data hattı birbirinden ayrılır. Eğer kullanılan DSLAM
üzerinde spliter bulunmuyorsa kullanıcıdan gelen hatlar önce harici bir spliter’da
toplanarak ses trafiği data trafiğinden ayrılmalıdır.
DSLAM’lar sadece servis sağlayıcı tarafında kullanılan cihazlar değildir. Farklı
amaçlarla müşteri networkünde kullanmakta mümkündür.
Peki bir müşteri networkünde DSLAM kullanmak bize ne gibi bir avantaj sağlayabilir?
Sağladığı en büyük avantajlardan biri uzak mesafelere data taşınmasını mümkün hale
getirmektir. Mesela bir siteyi düşünelim. Diyelimki sitedeki bütün dairelere internet
erişimi sağlanacak. Bunu ethernet teknolojisini kullanarak gerçekleştirmek isteseydik
ethernetteki 100 metrelik mesafe sınırlaması yüzünden bir çok switch kullanmamız
gerekecekti. Oysa bir DSLAM kullandığımız zaman 2 telli telefon kablosu üzerinden
6km gibi bir mesafeye kadar bağlantıyı gerçekleştirebiliriz. Bu da tek bir DSLAM
üzerinden site içerisindeki bütün dairelere bağlantıyı kolay bir şekilde
gerçekleştirmemize olanak sağlayacaktır.
DSLAM kullanmanın bir diğer avantajı ise ekstra kablolama derdinden bizi kurtarışıdır.
Yine aynı örnek üzerinden yola çıkacak olursak bir sitedeki bütün dairelere internet
erişimi dağıtılmak istendiğinde bunu ethernet bağlantısı ve switchlerle
gerçekleştirmeye çalışırsak her daireye bir ethernet kablosu çekmemiz gerekecektir.
Bu da oldukça maliyetli ve kimi durumlarda mümkün olmayabilir. Oysa bir DSLAM
kullanarak ADSL ile dairelere internet dağıtmayı tercih edersek ekstra bir kablolama
yapma gereksinimi kalmayacaktır. Zaten her daireye giden bir telefon hattı
bulunmaktadır. Yapmamız gereken bu telefon hatlarını DSLAM’da toplamak ve
dairelere birer ADSL modem bağlamak olacaktır.
Yukarıda verdiğimiz örnekte de belirttiğimiz gibi kablolama ve mesafe sorunlarının
olduğu ortamlarda internet dağıtımı için DSLAM ve ADSL teknolojisini kullanmak güzel
bir alternatiftir. Örnekleri çoğaltmamız mümküm. Mesela bir otelde odalara internet
dağıtımı için DSLAM kullanılabilir. Ya da aynı şekilde bir hastanede, öğrenci yurdunda,
büyük bir fabrikada, bir apartman ya da site ortamında DSLAM kullanmak
mümkündür.
ZyXEL IP DSLAM çözümleri alternatif ürün çeşitleri sayesinde 8 kullanıcıdan
1000’lerce kullanıcının olduğu ortamlara kadar ihtiyaçları karşılayabilecek seviyededir.
183
Hot-Spot Gateway’ler
Günümüzde bir çok otel, hastane, restorant, cafe vb. Kuruluşlar müşterilerine internet
erişimi hizmeti sağlamaktadır. Bu kuruluşlardan bir kısmı internet erişim hizmetini
ücretsiz bir servis olarak sunarken bazı kuruluşlar bu servisi ücretlendirmek
istemektedir. ZyXEL’in hot-spot gateway ürünleri bu tür kuruluşların isteğini kolay bir
şekilde gerçekleştirmelerine olanak sağlayacak ürünlerdir.
Hot-spot gateway ürünlerinin kullanıldığı ortamlarda kullanıcı kablolu ya da kablosuz
bir şekilde networke bağlandıktan sonra bir internet sayfasına erişmeye çalıştığında
kendisinden bir kullanıcı adı ve şifre istenecektir. Internet erişim hakkı sadece doğru
kullanıcı adı ve şifre girildiği taktirde gerçekleşebilecektir.
Hot-spot gatewat ürünlerinde kullanıcılara geçici süreliğine internet erişimi sağlayacak
kullanıcı adı ve şifrenin temin edilmesi oldukça kolaydır. Bu ürünlerle beraber
kullanılan ufak 3 tuşlu yazıcılar kuruluşun farklı noktalarına konumlandırılabilir.
Yazıcılar üzerinde bulunan tuşlar önceden firma sahibinin talebi doğrultusunda
programlanır. Mesela birinci tuş bir saatlik internet erişimi, ikinci tuş beş saatlik
internet erişimi, üçüncü tuş bir günlük internet erişimi gibi. Müşteri bu yazıcıların
bulunduğu noktalardan istediği süreye uygun seçeneklerden birini seçerek internet
erişimi için kullanacağı kullanıcı adı ve şifreyi temin edebilir.
ZyXEL ürünleri arasında iki farklı hot-spot gateway ürünü bulunmaktadır. Bunlardan
ilki G-4100 v2 serisidir. Bu ürün hem bir access-point hemde bir hot-spot gateway’dir.
Kullanıcılar kablosuz bir şekilde bu ürün üzerinden internet erişimi
gerçekleştirebilirler. Aynı zamanda üzerinde bulunan ethernet portları sayesinde
cihazın bir switche bağlanması ve switch üzerindeki diğer access-pointlere bağlı
kullanıcıların ya da switch üzerinden kablolu şekilde internete erişmek isteyen
kullanıcıların kontolünü gerçekleştirebilir. Bu ürüne sadece bir adet yazıcı üzerindeki
seri porttan bağlanabilmektedir. Bu yüzden yazıcı ile G-4100 arasında çok fazla
mesafe olamaz.
Diğer hot-spot gateway ürünü ise VSG-1200’dür. Bu ürün üzerinde bulunan 4 adet
ethernet portuna switch ya da access-point bağlayarak bir çok kullanıcının internet
erişimini kontrol etmek mümkündür. Ürünü G-4100’den ayıran en büyük özellik
ethernet arabirimli yazıcıları (SP-200E) desteklemesidir. 10 Adete kadar ethernet
arabirimli yazıcı farklı noktalara dağıtılarak aynı anda kullanılabilir.
Bu ürünler ile internet erişimini ücretlendirmek dışında ana sayfaya reklam alma,
çoklu URL-bağlantısı yönlendirme gibi işlemler de gerçekleştirilebilir. Aynı zamanda
bazı sayfalara ücretsiz erişime izin vermekte mümkündür.
184
Örnek DSLAM ve Hot-Spot Gateway Kullanım Senaryosu
ve Konfigürasyonları
Bu bölümde 100 odalı bir otelde odalara kablolu internet dağıtımını ve internet
erişiminin ücretlendirilmesini sağlayan bir senaryo üzerinde konuşacağız. Kullanılan
ürünlerin adım adım konfigürasyonlarının nasıl yapıldığını göreceğiz.
Kullanılan ürünler;
•
VSG-1200 v2 hot-spot gateway
•
ES-2108 L2 Managed 8 port switch
•
IES-1248-51A ADSL2/2+ IP DSLAM (2 Adet)
•
ADSL2/2+ Modem (Her odada bir tane)
Oluşturacağımız topoloji aşağıda görüldüğü gibidir.
Gördüğünüz gibi otelimiz ADSL hattı üzerinden internet erişimini gerçekleştiriyor.
Servis sağlayıcıdan gelen telefon hattı bir ADSL modeme bağlanmış ve bu ADSL
modem’in LAN arabiriminden VSG-1200’ün WAN portuna bağlantı yapıyoruz. Böylece
internete çıkmak isteyen bütün trafik VSG-1200 üzerinden geçecek ve sadece erişim
hakkına sahip kullanıcılar internete bağlanabilecekler. VSG-1200’ün LAN
arabiriminden switche bir bağlantı gerçekleştirilmiş ve aynı switch üzerine
185
DSLAM’larımızın uplink portlarından gelen ethernet kabloları bağlı. Odalardan gelen
telefon hatları DSLAM üzerindeki user arabirimlerinde sonlandırılmış durumda ve aynı
zamanda otelin telefon santrelinden gelen hatlarda aynı DSLAM üzerindeki CO
arabirimlerine bağlanmış. Bu sayede telefon hatları hem ses görüşmesi için hemde
internet erişimi için kullanılabiliyor. Odalarda ise ADSL modemlerimizin olduğunu
görüyoruz. Kullanıcılar ADSL modem üzerinden ethernet bağlantısı ile ya da kablosuz
bağlantı destekleyen modemlerin kullanılması durumunda kablosuz bir şekilde
internete erişebilecekler.
Evet fiziksel bağlantımız bu şekilde gelelim kullanılan cihazların konfigürasyonlarına.
VSG-1200 v2 Konfigürasyonu
Öncelikli olarak bilgisayarımızı VSG-1200’ün LAN arabirimlerinden birine bağlıyoruz.
Bilgisayara statik bir IP adresi vermemize gerek yok. IP adresini VSG-1200 üzerinde
çalışan DHCP sunucudan otomatik olarak alacaktır.
Bilgisyar IP adresini aldıktan sonra bir internet exploler gibi bir web browser açarak
adres kısmına http://10.59.1.1 yazıyoruz. Bu VSG-1200’ün default LAN IP’si.
Bizden bir kullanıcı adı ve şifre istenecek. Default kullanıcı adı “admin”, default
password ise “1234”.
186
Başarılı bir giriş yaptığımızda aşağıdaki gibi bir ekran karşımıza çıkacak.
Öncelikli olarak VSG-1200’ün WAN arabiriminin konfigürasyonunu yapalım. Bunun için
“System Settings > WAN / LAN” menüsüne giriyoruz. Karşımıza aşağıdaki gibi bir
ekran çıkacak.
187
Burada internet bağlantımızın türüne göre gerekli ayarları yapmamız gerekiyor. Eğer
bir metro ethernet bağlantısı varsa “Use fixed IP address” seçeneğini seçip gerçek
IP adresimizi yazabiliriz. Internet erişimi için Routing mode’da çalışan bir ADSL
modem kullanıyorsak “Get automatically from DHCP server” seçeneğini
işaretliyebiliriz. Eğer ADSL modemimizi bridge mode’da çalıştırıyorsak “PPPoE”
seçeneğini işaretleyerek açılan ekranda adsl bağlantısı için verilen kullanıcı adı ve şifre
bilgilerini yazmalıyız.
Ayarları yaptıktan sonra “Apply” tuşuna basarak yaptıklarımızı kaydediyoruz. Artık
VSG-1200’ün ve ona bağlı kullanıcıların internete erişebiliyor olması lazım. Bir browser
açıp internet bağlantısını kontrol edebilirsiniz.
Şimdi zaman bazlı işlemlerin düzgün şekilde gerçekleşebilmesi için VSG-1200’ün
saatini ayarlıyalım. Bu işlem için “System Setting > System” menüsüne giriyoruz.
Yukarıda da görüldüğü gibi “Date” kısmına yıl, ay, gün bilgilerini, “Time” kısmınada
saat, dakika, ve sanite bilgilerini yazıp “Apply” tuşuna basıyoruz.
Evet artık sistemin saat ve tarih bilgilerinide ayarlamış olduk. Şimdi gelelim kimlik
doğrulama işlemini aktif hale getirmeye. Şu anda bir kimlik doğrulama işlemi olmadığı
için VSG-1200’e bağlı tüm kullanıcılar internete erişebilir. Oysa biz internet erişimini
ücretli bir hale getirmek istiyorduk. Bunun için kimlik doğrulama yani authentication
ayarlarını yapmalıyız.
188
Kimlik doğrulama ayarlarını yapmak için “System Setting > Authentication”
Açılan ekranda “Built-in Authentication” seçeneğini işaretliyerek “Apply” tuşuna
basıyoruz.
“Built-in Authentication” seçeneği cihazın kullanıcı adı ve şifre bilgilerini kendi
üzerinde doğrulamasını sağlıyor. Tabi şu ana kadar herhangi bir kullanıcı adı veya
şifre oluşturmadık. Burada kullanıcı adı ve şifre ikililerini oluşturmak için iki
alternatifimiz bulunuyor. Birincisi dinamik kullanıcı adı ve şifreler. Dinamik kullanıcı adı
şifreler yazıcılar üzerindeki tuşlara bastığımız zaman otomatik olarak oluşturulur. Her
seferinde farklı bir kullanıcı adı ve şifre ikilisi ortaya çıkar ve yazıcının çıkarttığı kağıt
üzerinde bu bilgiler yer alır. Böylece kullanıcı kağıt üzerindeki kullanıcı adı ve şifreyi
kullanarak internete erişebilir. Yani bizim her kullanıcı için ayrı bir kullanıcı adı şifre
oluşturmamıza gerek kalmaz, tüm işlem otomatik olarak yapılır.
Bir diğer seçenek ise statik kullanıcı adı ve şifreler oluşturmaktır. Sabit ve sürekli
erişim yetkisi olan kullanıcılar için statik kullanıcı adı ve şifreler oluşturulabilir. Bu
işlemlerin nasıl yapıldığına daha sonra değineceğiz.
189
Gelelim ücretlendirme işleminin yapılışına. Yazıcılar üzerinde 3 tuş olduğunu ve
bunların farklı süreler için internet erişimi sağlamak amacıyla kullanılabileceğini
söylemiştik. Bu işlem için ücretlendirme profilleri oluşturmamız ve bu profilleri yazıcı
üzerindeki tuşlara atamamız gerekiyor.
Ücretlendirme profili oluşturmak için “System Setting > Billing” menüsüne
giriyoruz.
Yukarıda da görülebildiği gibi 10 farklı profil oluşturma imkanımız var. Fakat
unutmayalım yazıcılar sadece 3 profili destekliyor. Bir profil oluşturmak için ilgili profil
satırındaki “Active” kutucuğunu işaretliyeceğiz ve satırın sonundaki “Profil Setting”
sütunundaki “Edit” tuşuna basacağız.
190
“Edit” tuşuna bastığımızda yukarıdaki gibi bir ekran açılacak. Burada “Name”
kısmından ilgili profile herhangi bir isim veriyoruz. “Description” kısmına profili
açıklayan özet bir bilgi yazıyoruz. “1 gün 10 YTL” gibi. Daha sonra bu profilin ne
süreliğine internet erişim hakkı tanımlayacağını ayarlıyoruz. Örneğimizde 1 günlük
internet erişimi sağlayan bir profil oluşturulmuş. Müşteri ihtiyaçlarına göre profiller bu
şekilde oluşturulabilir.
Aynı ekrandan kullanıcıların bandgenişliğini sınırlamakta mümkün. Böylece bir
kullanıcının bütün bandgenişliği sömürmesi engellenmiş olacaktır.
191
Daha önce kullanıcı adı ve şifrelerin iki farklı şekilde oluşturulabildiğini söylemiştik.
Yazıcı üzerindeki tuşlara basılması ile dinamik olarak kullanıcı adı ve şifrenin
oluşturulması ilk yöntemdi. Bunun için herhangi bir ayar yapmamıza gerek yok.
Yazıcıyı VSG-1200’e tanıttıgımız zaman otomatik olarak bu işlem gerçekleşecektir.
Daha sonra yazıcıların nasıl tanıtıldığını inceleyeceğiz.
Bir diğer yöntemde kullanıcı adı ve şifreleri statik olarak oluşturmaktı. Böylece sürekli
bağlatı ihtiyacı olan sabit kullanıcıları her seferinde fiş alma derdinden kurtarabiliriz.
Statik olarak kullanıcı eklemek için “System Setting > Accounting” menüsüne
giriyoruz.
Yukarıda da görülebildiği gibi bu ekrandan statik kullanıcı adı eklememiz ya da
oluşturulmuş statik kullanıcıları görüntülememiz mümkün.
İstersek dinamik oluşturulmuş kullanıcılarıda görüntülüyebiliriz. Bunuda aynı ekranda
ekranın üzerinde bulunan “Dynamic Account” tuşuna basarak gerçekleştirebiliriz.
192
Yazıcıların VSG-1200 ile kullanılması
VSG-1200 ile iki farklı yazıcı kullanılabiliyor. Bunlardan ilki SP-200 modeli olan seri
bağlantılı bir yazıcı. SP-200 seri kablo ile VSG-1200’e bağlandığı için aralarında en
fazla 10 metre gibi bir mesafe olması mümkün. Bu yüzden kullanılabilirliği biraz
düşük. Bu yazıcıdan aynı anda VSG-1200’e sadece bir tane bağlanabilir.
VSG-1200 ile kullanılabilecek diğer yazıcı modeli ise SP-200E. SP-200E ethernet
arabirimine sahip olan bir yazıcı modeli. Bu yüzden networkümüzde herhangi bir
noktaya konumlandırmak mümkün. Aynı anda 10 taneye kadar SP-200E tek bir VSG1200 ile kullanılabilir.
SP-200E yazıcıların kullanılabilmesi için yazıcılar üzerinde bir takım ayarlar yapmamız
ve VSG-1200 üzerinde bu yazıcıları tanıtmamız gerekiyor.
VSG-1200 üzerinde yazıcıları tanıtmak için “Advanced Setting > Account
Generator” menüsüne giriyoruz.
193
Yukarıda da görülebildiği gibi açılan ekranda öncelikli olarak yapmamız gereken
“Account Generator” seçeneğini “Enable” olarak seçmek. Daha sonra “Ethernet
Thermal Printer IP Address” kısmına yazıcılarımızın IP adreslerini yazıyoruz.
Yazıcılar üzerinde IP adreslerini statik olarak biz ayarlıyoruz. Az sonra bu işlemden de
söz edeceğiz.
“Encryption” kısmından “Enable” seçeneğini işaretliyerek cihazlar arasında şifreli
konuşmayı sağlıyabiliriz. “Enable” seçeneğini işaretledikten sonra “Secret Key”
kutusuna yazıcılarda da aynı olacak şekilde ayarlıyacağımız ortak bir şifre yazıyoruz.
Daha sonra “Apply” tuşuna basarak yaptığımız ayarları kaydediyoruz.
VSG-1200 tarafında yapmamız gereken işlem bu kadardı şimdi yazıcıların üzerinde
yapmamız gereken işlemleri inceliyelim.
SP-200E modeli yazıcıların ethernet arabirimine sahip olduğunu söylemiştik. Bu
yazıcılar elektrik ihtiyacını ethernet üzerinden temin edebilirler. Yani PoE (Power over
Ethernet) desteğine sahipler. Tabi bu işlemin gerçekleşebilmesi için “power injector”
dediğimiz ethernet kablosuna elektrik yükleyen cihazların kullanılması gerekmektedir.
İstenirse PoE yerine harici bir adaptörle de yazıcıyı çalıştırmak mümkündür.
Yazıcıyı ethernet kablosu ile bilgisayarımıza bağladıktan sonra yazıcıyı power
düğmesinden çalıştırıyoruz.
Daha sonra bilgisayarımıza 192.168.1.2 gibi 192.168.1.0/24 networkünden bir IP
adresi veriyoruz. (192.168.1.7 hariç)
Bir web browser açarak adres kısmına http://192.168.1.7 adresini yazıyoruz. (SP200E modeli yazıcıların default IP adresi 192.168.1.7)
Her zamanki gibi default kullanıcı adı “admin” ve şifre ise “1234”
194
Açılan ekranda yazıcının IP adresini değiştirip VSG-1200 ile aynı networkten bir IP
adresi vermemiz gerekiyor. (Bizim örneğimizde 10.59.1.0/24 networkü) VSG-1200’ün
IP adresini tanıtıp şifrelemeyi açtıysak kullanılan ortak şifreyide yazmalıyız.
Yukarıda görüldüğü gibi gerekli ayarları yaptıktan sonra “Apply” tuşuna basarak
ayarları kaydediyoruz.
Artık yazıcıyı bilgisayardan sökerek networke bağlıyabiliriz. Yazıcıyı switche
bağladıktan sonra üzerindeki tuşlardan birine basarak çalışıp çalışmadığını test
edebilirsiniz. Daha önce yapmış olduğumuz “Built-in Authentication” ve “Billing
Profiles” ayarları sayesinde yazıcı üzerindeki tuşlar otomatik olarak oluşturduğumuz
ilk üç ücretlendirme profiline eşleşmiş oldu. Bu tuşlardan birine bastığımızda dinamik
bir kullanıcı oluşacak ve yazıcıdan kullanıcı adı şifre bilgileri çıkacaktır.
195
ES-2108 Switch Konfigürasyonu
ES-2108 topolojimizde VSG-1200 hot-spot gateway ile IES-1248-51A DSLAM’ler
arasındaki ana switch rolünde. Switch üzerinde hiç bir ayar yapmasakta aslında
yapımız sorunsuz bir şekilde çalışacaktır. Fakat güvenliği artırmak adına switche bağlı
kullanıcıların birbirleriyle iletişimini yasaklayıp sadece VSG-1200 ile
haberleşebilmelerini sağlamak faydalı olacaktır. Bu aşamada VSG-1200’ün switch
üzerindeki hangi porta bağlandığı önemli. Daha sonradan bu port numarasına göre
konfigürasyonları yapacağız.
ES-2108 switchimizin default IP adresi 192.168.1.1 ve erişim için default kullanıcı adı
şifre “admin” ve “1234”.
Bilgisyarımıza 192.168.1.0/24 networkünden bir IP adresi verdikten ve switch ile
arasında bir ethernet bağlantısı yaptıktan sonra bir web browser açarak adres
kısmına http://192.168.1.1 yazıyoruz ve kullanıcı adı şifre bilgilerini yukarıda
belirttiğimiz şekilde giriyoruz.
Öncelikli olarak switch’in IP adresini değiştirip VSG -1200 ile aynı networkten bir
adres verelim böylece daha sonra switche erişmek istediğimizde IP adresimizi
değiştirmemize gerek kalmayacaktır.
Switch’in IP adresini değiştirmek için “Basic Settings > IP Setup” menüsüne
giriyoruz.
Yukarıda görüldüğü gibi 10.59.1.2 gibi VSG-1200 ile aynı networkten bir adres
veriyoruz. Ve “Apply” tuşuna basarak kaydediyoruz.
Not: bu işlemi yaptığımızda switche olan bağlantımız kopacak IP adresimizi düzeltip
http://10.59.1.2 adresine bağlanmamız gerekiyor.
196
Şimdi portlar arası iletişimi engellemek için “Port-Based VLAN” konfigürasyonu
yapalım. Port-Based VLAN konfigürasyonu için “Basic Setting > Switch Setup”
menüsüne girip “VLAN Type” kısmından “Port Based” seçeneğini işaretliyoruz.
Sayfanın geri kalan kısmında herhangi bir ayarı değiştirmemize gerek yok. “Apply”
tuşuna basarak değişiklikleri onaylıyoruz.
Daha sonra “Advanced Application > VLAN” menüsüne giriyoruz.
“Setting Wizard” kısmında “Port Isolation” seçeneğini seçip “Apply” tuşuna
basıyoruz. Bu seçenek ethernet portları arasındaki iletişimin kesilmesini sağlayacaktır.
Böylece müşteriler diğer müşterilerin bilgisayarlarına erişemiyecekler.
Uplink portu yani VSG-1200’e giden port için bütün sütun ve satırdaki kutucukları
işaretliyoruz. (Aşağıdaki örnekte 8 numarı port VSG-1200’e giden port olarak
kullanılmıştır.) Bu işlem VSG-1200’ün switch üzerindeki diğer bütün portlara veri
gönderebilmesini ve diğer portlardan veri alabilmesini sağlar.
197
Evet switch tarafındaki konfigürasyonuda bitirmiş olduk. Şimdi yaptığımız ayarları
kayıt edelim ve DSLAM’ların konfigürasyonuna geçelim.
Swtich üzerinde yaptığımız ayarları kayıt etmek için ekranın sağ üst köşesindeki
“Save” tuşuna basıyoruz.
198
199
IES-1248-51A Konfigürasyonu
IES-1248-51A model DSLAM’ın default IP adresi 192.168.1.1 , cihaza erişim için
default kullanıcı adı “admin” şifre ise “1234” şeklindedir.
Cihazın yönetim arabirimine erişebilmek için bilgisayarımıza 192.168.1.0/24
networkünden bir IP adresi veriyoruz ve DSLAM üzerindeki uplink portuna ethernet
bağlantısı gerçekleştiriyoruz.
Bir web browser kullanarak http://192.168.1.1 adresine bağlanıyoruz ve yukarıda
belirtilen kullanıcı adı ve şifre ile cihazın web arabirimine erişiyoruz.
Öncelikli olarak DSLAM’ın IP adresini değiştirip VSG-1200 ile aynı networkten bir IP
adresi verelim. Böylece daha sonradan cihazı switche bağladığımızda bilgisayarımızın
IP adresini değiştirmeden cihaza erişebiliriz.
IP adresini değiştirmek için “Basic Settings > IP Setup” menüsüne giriyoruz.
Yukarıda gördüğümüz default IP bilgilerini 10.59.1.3 gibi 10.59.1.0/24 networkünden
kullanılmayan bir IP adresi ile değiştiriyoruz. Default gateway olarak 10.59.1.1
yazıyoruz ve değişiklikleri uygulamak için “Apply IP setting” ve “Apply Gateway
Setting” tuşlarına basıyoruz.
Not: IP adresini değiştirdiğimiz için bağlantımız kopacaktır ve bilgisayarımızın IP
adresini değiştirmeden yeni bir bağlantı gerçekleştiremeyeceğiz. Ayarları
değiştirdikten sonra bilgisayarımıza 10.59.1.0/24 networkündne bir IP adresi verip
http://10.59.1.3 adresine bağlantı yapmamız gerekiyor. Eski bağlantı askıda kalmış
olabilir, böyle bir durumda yeni bağlantıya izin vermeyecektir. Telnet ile bağlanıp
askıda kalan bağlantıyı koparabilirsiniz.
200
DSLAM üzerindeki kullanıcıların birbirleri arasındaki iletişimi engellemek için “Port
Isolation” konfigürasyonu gerçekleştirmemiz gerekiyor. Bunun için “Basic Setting
> Switch Setup” menüsünde “Port Isolation” kutusunu işaretliyoruz.
Bu ayar sayesinde DSLAM üzerindeki kullanıcıların birbirleri arasındaki iletişimi
engellemiş oluyoruz. Ortam güvenliğini artırmak için bu işlemi gerçekleştirmeliyiz.
Şimdi DSL ayarlarını yapmak için “Basic Settings > xDSL Port Setup > VC
Setup” menüsüne girelim.
201
Öncelikli olarak 0/33 olan mevcut VC profilini silelim. Port 1 için en sağdaki kutucuğu
işaretliyoruz ve “Delete” tuşuna basıyoruz.
Bu işlemi yaptığımızda diğer portlardan da aynı profili silmek istermisiniz diye bir soru
soracak. Burada “OK” tuşuna basıyoruz.
Şimdi açılan ekranda bütün portları işaretliyerek 0/33 profilini bütün portlardan
sileceğiz.
202
Artık VPI/VCI değeri 8/35 olan yeni profilimizi oluşturabiliriz.
VPI: 8 , VCI: 35 Super Channel: işaretli olacak şekilde ayarları yapıp “Add” tuşuna
basıyoruz.
Yaptığımız bu işlem oluşturduğumuz yeni profili sadece 1 numaralı port için uygulamış
oldu. Diğer portlarada aynı profili uygulamak için port 1’in satırında en sonda bulunan
kutucuğu seçip aşağıdaki “Copy” tuşuna ve daha sonra “Paste” tuşuna basıyoruz.
Bu işlemi yaptığımızda bize profili hangi portlara uygulamak istediğimizi soracak.
Listeden bütün portları seçerek ilgili profili tüm portlar için uyguluyoruz.
203
Şimdi ADSL bağlantıların çalışma hızını ayarlıyalım.
“Basic Setting > xDSL Profile Setup” menüsüne giriyoruz.
Portlarda uygulanmış olan default profil “DEFVAL” ve bu profil defaultta 2Mb/s
download, 512kb/s upload şeklinde ayarlanmış. Toplam internet bağlantı hızımızı
düşünecek olursak bu tek bir kullanıcı için yüksek bir değer. Yukarıda görüldüğü gibi
“Max Rate” satırından upload ve download değerlerini belirlediğimiz yeni bir profil
oluşturabiliriz. Tabiki “Name” kısmına bir isim yazıp bu profile bir isim vermemiz
gerekiyor.
Şimdi oluşturduğumuz bu profili tüm portlara uyguluyalım.
“Basic Settings > xDSL Port Setup” menüsüne giriyoruz ve 1numaralı portun
numarasının üzerine tıklıyoruz.
204
Açılan ekrandan oluşturduğumuz hız profilini uyguluyabiliriz. Aynı zamanda 8Mb’ten
hızının üzerine çıkmayı düşünmüyorsak çalışma modu olarak “G.DMT” seçeneğini
seçmemizde fayda var. Böylece ADSL2 desteği olmayan modemlerde sorun çıkmaz.
“Auto” kalmasıda işimizi görecektir.
Profili 1 numaralı porta uyguladıktan sonra kolay bir şekilde “Copy” & “Paste”
yaparak diğer portlarada aynı profili uyguluyabiliriz. Copy & Paste yapmadan önce
yukarıdan “Profile&Mode” (aşağıdaki şekilde kutu ile gösterilmiştir) seçeneğinin
seçilmiş olması gerekiyor.
Farklı bir IP adresi vermek dışında aynı işlemler diğer DSLAM’da da
gerçekleştirilecektir.
Artık tüm cihazlarımızın konfigürasyonları tamam. Geriye odalardaki ADSL
modemlerin konfigürasyonunu yapmak kalıyor. ADSL modemlerin
konfigürasyonlarında normal bir internet bağlantısına göre farklı olan tek bir ayarımız
olacak. O da kullanılan “Encapsulation” kısmında normalde “PPPoE” seçeneğini
işaretliyorduk. Onun yerine “ENET ENCAP” seçeneğini işaretliyeceğiz.
205
Konfigürasyon Örnekleri
Zyxel Adsl Router Temel Kurulumu
Splitter bağlantısı
ADSL hat aynı zamanda telefon görüşmesi için de kullanılacaksa splitter denen ve
ürünle beraber gelen cihaz kullanılmalıdır. Splitter yukarıdaki şekilde görüldüğü gibi
bağlanmalıdır.
Hat
spllitter’a
girmeden
önce
kesinlikle
paralel
kullanılmamalıdır. Paralel kullanım olacaksa bu splitter’dan sonra olmalıdır.
1- Telekomdan gelen iki tel hat RJ 11 konnektor’un ortadaki iki ucuna , konnektor de
modem’in arka tarafında ADSL yazan yere takılır.
2- Splitter ile bağlantıda telekomdan gelen hat splitter’in “line” kısmına takılır.
“modem” yazan kısımdan ADSL modeme, “phone” yazan kısımdan da telefona
bağlantı yapılır.
ZyXEL ADSL router’ların telnet ile ulaşılan menulü arayüzü olduğu gibi, web browser
programlarıyla
ulaşılabilen web arayüzü de vardır. Ürünü web arayüzünden
ayarlamak için ilk önce cihazın 2.3.4 nolu portlarından(Belli modellerde 1 nolu port
DMZ portudur. Bu port server bağlamak ve bu server’u LAN’dan izole etmek amacıyla
kullanılır.) birine bilgisayarınzı direkt olarak veya hub/switch vasıtasıyla bağlayınız.
Cihazın LAN portunun IP adresi 192.168.1.1 (255.255.255.0) dır. Bu yüzden bizim IP
adresimiz de 192.168.1.0’netwotkünden bir IP adresi olmalıdır. PC’nin IP adresini
192.168.1.1 olmamak şartıyla 192.168.1.x şeklinde vermeliyiz. Alt ağ maskesi
206
(Subnet Mask ) olarak 255.255.255.0 , ağ geçidi (Default Gateway) olarak da
192.168.1.1 vermeliyiz.
DNS server IP adresi olarak TTnet’in DNS server’larından birinin IP adresi verilebilir.
(212.156.4.1, 212.156.4.2, 212.156.4.6, 212.156.4.7)
Veya bilgisayara IP adresini elle vermek yerine IP configurasyonunu otomatik
olarak aldırabiliriz. Bu durumda bilgisayar 192.168.1.33 veya bu değerden daha
büyük bir IP adresi alacaktır. DNS server IP adreslerini de otomatik al seçebilirsiniz
veya yukarıda belirtilen DNS server IP adreslerini kullanabilirsiniz.
IP adresini elle verdikten veya otomatik olarak aldıktan sonra web browser
programını (Internet Explorer, Netscape..) çalıştırın. Adresi satırına 192.168.1.1
yazın. Kullanıcı adı soruluyorsa “Admin”, Password olarak “1234” girdikten sonra
yeni şifre girmeniz için router sizi uyarır. Yeni şifrenizi 2 defa girip “Apply” butonuna
basabilir veya “Ignore” deyip default şifreyle girişi yapabilirsiniz. (Not:Güvenlik
açısından şifre değişikliği önemle tavsiye edilir. Bütün ZyXEL ürünlerinin şifresi “1234”
olduğundan başka biri router’a bağlanıp ayarlarını değiştirebilir.) Şifreyi girdikten
sonra karşımıza aşağıdakine benzer ekran gelecektir. (Ana ekran ürün modeline göre
değişir.)
207
Sol taraftaki
Connection Setup linkine tıklayın. Mode “Routing” olarak
seçilmelidir. Encapsulation PPPoE veya PPPoA, Multiplex LLC veya VC, VPI “8”,
VCI “35”seçilmelidir.(Not: Bu değerler santralden santrale değişen değerlerdir.).
“Next” tuşu ile bir sonraki ekrana geçilir. Eğer PPPoE seçildiyse Service Name alanı
çıkar. Bu alan boş bırakılmalıdır. User Name olarak telekom tarafından size verilen
kullanıcı adı sonuna @ttnet uzantısı yazılarak girilir. Password kısmına şifrenizi
giriniz. IP Address kısmında size verilen IP adresi sabit(static) bile olsa Obtain an
IP Address Automatically seçeneği seçilmelidir. Connection kısmında Connect
on Demand seçilmelidir. Max Idle Timeout “0” dır ve öyle kalmalıdır. Bu durumda
cihaz açılınca “Idle” konumda bekler, iç taraftan (LAN’dan) istek gelince hat “UP”
olup karşı server’dan IP adresi alır. Eğer cihazın açıldıktan sonra hattın direkt “UP”
olması isteniyorsa (talep gelmesine gerek yoktur.) “Nailed-Up Connection” seçili
olmalıdır. Network Address Translation “SUA Only” seçilip “Next” tuşu ile bir
sonraki ekrana geçilmelidir. Bir sonraki ekranda kontrol etmemiz için şimdiye kadar
girilen bilgiler listelenir. Bizim girmediğimiz ama default ayarlarda var olan LAN
Information kısmı da görülür. Burada görüldüğü gibi default ayarlarda cihazın LAN IP
adresi 192.168.1.1, Subnet maskı 255.255.255.0, DHCP ON, Client IP Pool Starting
Address (dağıtılacak IP adreslerinin başlangıcı) 192.168.1.33, Size of Client IP Pool
(Dağıtılacak IP adresi sayısı) 32’dir. Bu değerler daha sonra değiştirilebilir. “Save
Settings” butonuna basılarak ayarlar kaydedilir. Bir sonraki ekranda LAN
connections kısmında Test your Ethernet Connection’un karşısında PASS yazısını
görürüz. Bu LAN testini geçtiğini gösterir. Aşağıda bir takım testler daha vardır.
“Start Diagnose” butonuna basınca cihaz testleri tamamlayabilmesi için sizden 20
sn beklemenizi isteyecek ve bu süre sonunda test sonuçlarını bildirecektir.
208
Test ADSL synchronization testi fiziksel olarak karşı tarafa bağlı olup olmadığınızı
test eder.
Test ADSL(ATM OAM) loopback testi geçmeyebilir. Bu karşı sistemin loopback
ayarına bağlıdır.
Test PPP/PPPoE server connection testi karşı server’a bağlantıyı test eder.
Ping default gateway testi router’un default gateway’ine ping atıp atamadığını test
eder.
Bu dört testen en az 1 ve 3’numaralı testlerin geçmesi lazım ve bu testler geçildikten
sonra artık router Internet’e bağlanmıştır Daha sonra arkadaki bilgisayarın da
çıkabileceğini test edebilirsiniz.
NAT Port Yönlendirme (Server Hosting)
Kullanıcıların en çok yapmak istedikleri uygulamaların başında router arkasındaki bir
bilgisayara web server, mail server kurmak ve bunu Internet’e açmak gelir. Veya
içerideki bir bilgisayarın masaüstüne ulaşmak istenir. Web server için 80 nolu portu,
mail server için 25 ve 110 nolu portu, uzak masaüstü bağlantısı için 3389 nolu portu
arkadaki PC’ye yönlendirmek gerekir. 192.168.1.2 IP adresli bilgisayarda web server,
192.168.1.8 IP adresli bilgisayarda mail server, 192.168.1.15 IP adresli bilgisayarda
da Terminal server (uzak masaüstü bağlantısı yapmak için) olduğunu farzedelim.
Bunlar bizim kabul ettiğimiz örnek değerlerdir.
Cihaza web arayüzünden bağlanın. Advanced Setup altındaki NAT linkine tıklayın.
SUA Only seçeneğinin karşısındaki “Edit Details” linkine tıklayın. Açılan pencerede
yönlendirmek istediğimiz port numaralarının başlangıç değerini Start Port No, bitiş
değerini End Port No, portların yönlendirileceği lokal IP adresini IP Address yazan
alana yazın. Başlangıç ve bitiş değerleri aynı ise her iki alana da aynı değeri yazın.
Eğer bütün portları arkadaki tek bir PC’ye yönlendirmek veya 2.3.4... satırlarında
yazan portların haricindeki portları tek bir PC’ye yönlendirmek istiyorsak 1. satırdaki
IP adres kısmına bu PC’nin IP adresini yazın. “Save” butonuan basarak ayarları
kaydedin. Bizim örneğimizin bu sayfaya yazılışı aşağıdaki gibidir.
209
Paket seviyeli firewall olan modellerde (650R-31, 660R-61) fabrika ayarlarında var
olan kısıtlamaları kaldırmak gerekir. Web arayüzünden cihaza bağlanın. Advanced
Setup altındaki “Security” linkine tıklayın. Aşağıda görüldüğü üzere dışarıdan içeriye
Telnet, FTP, TFTP, Web, SNMP trafiği engellenmektedir. Gerekli kısıtlamaları,
yönlendirme yapmak istediğimiz portların onay kutusunu temizleyerek kaldırmalıyız.
210
Statefull Packet Inspection Firewall özelliği olan modellerde dolayı dışarıdan içeriye
gelen isteklere izin verilmez. Yalnızca içeriden dışarıya yapılan isteklere cevap olarak
gelen paketlere izin verilir. Buna Statefull özelliği denir. Dışarıdan içerideki
server’lara ulaşmak için WAN to LAN yönünde uygun kuralları tanımlamak gerekir.
Advanced Setup altındaki Firewall linkine tıklayın. Açılan penceredeki Rule Summary
linkine tıklayın. Packet Direction bölümünden WAN to LAN seçin. Görüldüğü üzere bu
yönde tanımlanmış bir kural yoktur ve “Default Policy: Block” görülür. Bu ayar,
yazılan kural(lar)a uymayan paketlerin bloklanacağı anlamına gelir. Yeni bir kural
eklemek için “Append” butonuna basın. İlk kural web server’a gelen isteklere izin
verilmesi için oluşturulacaktır. Source Address List kısmında “Any” kalsın. Çünkü web
server’a kimin erişeceği belli değildir. Destination Address List kısmındaki “Any” ‘e
tıkladıktan sonra “Delete” butonuyla silinmelidir. Burada sadece 192.168.1.2
olmalıdır. Destination Address kısmında Address Type olarak “Single Address”
seçildikten sonra “Start IP Address” kısımda 192.168.1.2 yazılır. “Add” butonuna
basılarak bu adres Destination Address List bölümüne atılır. Aynı şekilde Selected
Services kısmındaki Any(TCP) ve Any(UDP) değerleri silinmelidir(Remove butonuna
basarak) Available Services kısmından HTTP(TCP:80) seçilip sağ tarafa atılmalıdır.
Sayfanın en yukarısında Action for Matched Packets:Forward seçilidir. Bunu
değiştirmiyoruz, çünkü bu şartlara uyan paketi forward etmek istiyoruz. Sayfanın
altındaki “Apply” butonuna basarak kuralı onaylıyoruz.
211
Firewall - Rule Summary ekranına döndüğümüzde 1 no’lu kuralın oluştuğunu görürüz.
Mail server’a erişilmesi için benzer şekilde “Append” butonuna basarak 2 nolu kuralı
oluşturuyoruz. Bu sefer IP adresi olarak 192.168.1.8 yazıyoruz. Available Services
kısmından POP3(TCP:110) ve SMTP(TCP:25) seçip sağ tarada atıyoruz.
Terminal Server’a erişilmesi için 3 nolu kuralı oluşturuyoruz. Bu kuralı oluştururken
IP adresi olarak 192.168.1.15 yazıyoruz. Available Services kısmında 3389 portunun
olmadığını görürüz. Available Services listesinde sık kullanılan(bilinen) servisler vardır.
Edit Customized Services linkine tıklayarak yeni bir servis oluşturmamız gerekiyor.
Firewall - Customized Services sayfasında 10 adet servis oluşturulabiliyor. 1 nolu linke
basıyoruz. Service Name bölümüne hatırlatıcı olması açısından “Terminal Service”
yazabiliriz. Service Type olarak TCP, UDP, TCP/UDP seçeneklerinden birini seçiyoruz.
Bu seçim, servisin hangi protokolü kullandığına bağlıdır. Port Configuration
bölümünde Single seçersek tek bir port numarası, Range seçersek aralık gireriz.
“Apply” butonuna basarak yaptıklarımızı kaydederiz. “Back” butonuyla kural
oluşturma sayfasına geri döneriz. Artık Available Services listesinde “Teminal Service”
diye bir servis olduğunu görürüz.Sonradan oluşturulan servislerin isimlerinin sol üst
kısmında “*” vardır. Sağ tarafta Any(TCP) ve Any(UDP) değerleri geri dönmüşse
bunları kaldırın. Yeni oluşturduğumuz servisi sağ tarafa atın. “Apply” butonuna
212
basarak kuralı saklayın. Firewall - Rule Summary ekranında oluşturduğumuz 3 kuralın
özet görüntüsü aşağıdaki gibi olmalıdır.
Kural tanımlama bitmiştir. Diğer kuralları bu şekilde oluşturabiliriz. Sayfanın en üst
solundaki “Main Menu” linkine tıklayıp diğer ayarlara geçebiliriz.
213
ZyXEL P-662HW Üzerinde IPSec VPN Tünel Kurulumu
(IPSec) Internet Protocol Security 3 ana VPN protokolünden biridir. 652/660/662
serisi Zyxel ADSL routerlar ve Zywall serileri bu protokolü desteklerler. Bu özelliğe
sahip cihazlara bu dokümanda “Secure Gateway” dendiği de olacaktır. VPN tünel iki
secure gateway arasında veya “IPSec Client Software” yüklü bir PC ile Secure
Gateway arasında kurulabilir. Burada birinci seçenek yani iki Secure Gateway arasında
nasıl VPN tünel kurulacağı anlatılacaktır. Örnek secure gateway olarak Prestige 652
HW-31 seçilmiştir.
VPN tünel Internet üzerinden veya var olan Intranet üzerinden kurulur. Olaya
dışarıdan bakıldığında kiralık hat kullanarak LAN to LAN bağlantı yapılmış gibi görülür.
A LAN’ındaki herhangi bir PC B LAN’ındaki herhangi bir PC’ye erişebilir.
PC 1
192.168.1.33
Prestige A
Prestige B
LAN: 192.168.1.1 LAN: 192.168.2.1
WAN:
WAN:
202.132.154.1
168.10.10.66
PC 2
192.168.2.33
Biz yukarıdaki IP adreslerini kullanacağız. İki secure gataway kullanarak tünel
oluşturulurken iki router’dan en az birinin WAN IP adresi sabit olmalıdır. Biri statik
diğeri dinamik olursa bu durumda bağlantıyı dinamik IP adresine sahip taraf
başlatabilir.
Önemli Not: 652HW-31 ve 662HW-61 modellerinde DMZ portu
bulunmaktadır. DMZ portunun default IP adresi 192.168.2.1’dir. Yukarıdaki
uygulamada Prestige A’nın LAN IP adresi 192.168.1.1, Prestige B’nin LAN
port IP adresi 192.168.2.1 seçilmiştir. Eğer IP adresleri bu şekilde seçilirse
DMZ port IP adresi farklı bir değere alınmalıdır. (172.17.50.1 vs..) Aksi
taktirde, bizim örneğimiz için konuşacak olursak, A tarafındaki bir PC
192.168.2.1’e ping attığında Prestige B’ye değil de kendi tarafındaki
(Prestige A) router’un DMZ portuna yönlendirilir. Bu sebepten tünel
kurulmaz.
214
A router’una, LAN IP adresi Internet Explorer satırına yazılarak ulaşılır. Ana menüden
“Advanced Setup” kısmındaki VPN linkine tıklanır.Burada “Setup”, daha sonra boş
olan bir VPN numarasına tıklanır. Kuralı etkinleştirmek için “Active” kutusu işaretlenir.
“Name” kısmına kuralın ismi yazılır. IPSec Key Mode “IKE”, Negotiation Mode “Main”,
Encapsulation Mode “Tunnel” seçilir. Local kısmında Local Address Type “Subnet”
seçilir. IP Address Start bölümüne network numarası olan 192.168.1.0 yazılır. End /
Subnet Mask alanına da subnet mask olarak 255.255.255.0 girilir. Remote kısmında da
karşı tarafın adres bilgileri girilir. Yani, IP Address Start bölümüne karşı tarafın
network numarası olan 192.168.2.0 yazılır. End / Subnet Mask alanına da subnet mask
olarak 255.255.255.0 girilir.
Address Information bölümünde Local ID Type olarak IP seçiyoruz. Bu durumda bu
taraftaki router karşı tarafa kendini IP adresiyle tanıtacaktır. Content kısmını 0.0.0.0
olarak yazıyoruz. Bu durumda router kendini karşı tarafa almış olduğu WAN IP
adresiyle tanıtır. My IP Address kısmına IP adresimiz sabit ise onu, değilse 0.0.0.0
yazmalıyız. Peer ID Type yine IP seçilir. Content kısmına 0.0.0.0 yazılır. Secure
Gateway Address bölümüne karşı router’un WAN IP adresi yazılır. Bu adres sabit ise
adresin kendisi, değişken ise 0.0.0.0 yazılır. Daha önce de dendiği gibi en az bir tarafın
IP adresi sabit olmalıdır.
Security Protocol bölümünde VPN Protocol ESP, Encryption Algorithm DES,
Authentication Algorithm MD5 seçilir.
Encryption Algorithm güvenliği daha da
artırmak amacıyla 3DES seçilebilir. Pre-Shared Key olarak şifrelenecek key yazılır. Bu
key her iki tarafta aynı olmalıdır.
215
Prestige A’da girilen ayarların aynısı (duruma göre simetriği) Prestige B’de de
girildikten sonra A tarafındaki bir PC’den B tarafındaki bir PC’ye istek yapılmasıyla
(veya tam tersi) VPN tünel kurulur.
216
Prestige 2002’nin SIP server’a kayıt edilmesi
Bu örnekte P 2002’nin SIP server’a kayıt edilerek nasıl kullanıldığı anlatılmaktadır.
Aşağıdaki şekilden daha iyi anlaşıldığı gibi P2002 gibi VoIP cihazlar ITSP’nin (Internet
Telephony Service Provider) server’una register olarak birbirlerini veya ITSP’nin
gateway’i üzerinden diğer telefonları (PSTN, GSM vs..) arayabilmektedir. Şekilde NAT
diye isimlendirilen cihaz Internet erişimini sağlayan ve NAT yapan cihazdır. (Örneğin
ADSL router..)
P 2002’yi router’un arkasına direkt takabilir veya aradaki swtich’e bağlayabilirsiniz.
Switch’ten gelen kabloyu arka paneldeki LAN portuna takın. Eğer PC’ye gelen
network kablosunu 2002’nin LAN portuna bağladıysanız PC için ayrı bir kablo
çekmeye gerek yoktur. 2002 üzerindeki PC portunu da PC’ye bağlayarak 2. bir kablo
çekme zahmetinden kurtulmuş olursunuz.
P 2002 default ayarlarda DHCP client durumundadır. 192.168.5.1 diye management
amaçlı bir IP adresi vardır. Cihaza erişmek için PC’nize 192.168.5.0 subnetinden bir IP
verin. Internet Explorer’a 192.168.5.1 yazıp cihaza erişin. Defalut şifre “1234” tür.
Cihaz şifreyi değiştirmeniz yönünde sizi uyarır. Yeni şifrenizi 2 defa girip Apply
butonuna bastıktan sonra tekrar şifre sorma ekranı gelir. Yeni şifrenizi girip cihazın
web arayüzüne ulaşın.
Sol taraftaki menüde ETHERNET bölümünü seçin. Aşağıdaki ekran karşınıza
gelecektir.
217
P 2002’ye çalışacağı networkten sabit bir IP adresi vermek daha uygun bir yoldur.
Default Gateway kısmına P 2002’nin Internet’e çıkarken kullanacağı ağ geçidini yazın.
Domain name çözümlemesi gereken durumlar olacağından DNS server kısımlarına
geçerli bir DNS IP adresi girip Apply butonuna basarak değişiklikleri kaydedin.
Sol menüden VoIP linkine tıklayın. Ekranın sağ üstünde hangi hesabın bilgilerini
gireceğiniz bir kutu çıkar. 2002’ye 2 adet SIP hesabı girilebilir. Default olarak SIP 1
gelir ve Active kutucuğu aşağıda görüleceği üzere seçilidir. Biz bu örnekte
http://account.freeworlddialup.com/index_new.php?section_id=94 adresinden
ücretsiz olarak alınan SIP hesabını kullanıyoruz. Diğer servis sağlayıcılardan alınan
SIP hesapları da benzer şekilde 2002’ye girilir.
218
SIP Number kısmına SIP server’da sizin için açılmış numarayı girin. Aksi
söylenmedikçe port numarası yazan yerlerin 5060 kalması gereklidir. Diğer 3 alana
SIP server’un IP adresi veya domain name’i yazılır. Authentication kısmına kullanıcı
adı ve şifre girilir. Kullanıcı adı genellikle SIP number ile aynıdır. Bu numara dışarıdan
arandığında hangi telefon portunun çalmasını (Phone 1 ve/veya Phone 2) istiyorsanız
belirtin.
İleri düzey aramalar için Settings butonuna basın. RTP Port Range kısmının aynen
kalmasında mahzur yoktur. Voice Compression kısmında analog işaret olan sesin
digital işaret olan IP paketlerine çevrilirken hangi codec’in kullanılacağını belirtin.
Cihaz 2 çeşit codec destekler. G.711 64 Kbps, G.729 8 Kbps band genişliği kullanır.
Codec seçerken hattınızın upload hızını göz önünde bulundurun. 1024/256 Kbps ve
üzeri hatlarda G.711 kullanılabilir. Band genişliğinden tasarruf etmek istiyorsanız
G.729 seçilmelidir.
P 2002’nin Internet’e çıkarken kullandığı gateway’in SIP ALG (Application Layer
Gateway) desteği yoksa Use NAT kısmını enable edin. IP Address kısmına 2002’nin
Internet’e çıktığı IP adresini yazın. Port yine 5060 kalmalıdır. Daha sonra 5060 portu
2002’nin Internet’e çıktığı router üzerinden P 2002’ye yönlendirilmelidir. Ayrıca RTP
port range kısmındaki port aralığı da SIP ALG (Application Layer Gateway) desteği
olmayan router üzerinde P 2002’ye yönlendirilmelidir. (Router’un kullanıcı kılavuzuna
bakın!) Değişiklikleri sakladıktan sonra 2002’nin SIP server’a register olup olmadığını
219
sol paneldeki “MAINTENANCE” linkine tıklayarak görebilirsiniz. Register olmuş SIP
hesaplarının durumu aşağıdaki gibidir. Ayrıca ürünün register olup olmadığını
PWR/VoIP ledinin durumuna bakarak da öğrenebilirsiniz. Ürün register olduğunda bu
led düz turuncu yanar.
Telefon portları ile ilgili ayarlar için sol menüdeki “Phone” menüsünü seçin. Ekranın
sağ üstünde “Phone Port Settings” kısmında ayar yapmak istediğiniz telefon portunu
seçin.
Speaking Volume ve Listening Volume bölümlerinde sırasıyla giden ve gelen ses
seviyesi ayarı yapılır. “-1” en düşük, “1” en yüksektir. Bu porta takılı olan telefonla
arama yaparken hangi SIP hesab(ları)ının kullanılması isteniyorsa “Outgoing Call
use” bölümünden seçilir. Kendi sesinizin yankılanmasını istemiyorsanız “G.168 Active
kutusu işaretli olmalıdır. Konuşmaya ara verdiğinizde daha az band genişliği
kullanılsın istiyorsanız “VAD Support” kutusu seçilmelidir.
220
Arama yaparken numaraları tuşladıktan sonra P 2002’nin aramayı başlatmadan önce
kaç saniye beklemesini istiyorsanız “Dialing Interval” bölümüne bu değeri girin.
Değişiklikleri Apply butonuna basarak saklayın.
Telefon portlarına takılı olan telefonla artık arama yapabilirsiniz.
221
Prestige 2002’lerin SIP server olmadan birbirlerini
araması
Bu dokümanda 2 adet P 2002’nin birbirini SIP server olmadan araması için P
2002’(L)de ve bağlı olduğu ADSL router’da yapılması gereken ayarlar anlatılmaktadır.
Aşağıdaki şekilden daha iyi anlaşıldığı gibi 2 adet P2002 arada bir SIP server olmadan
birbirlerini “peer to peer olarak” arayabilmektedir. Bu örnekte router olarak 662HW
kullanılmıştır.
Not: Dikkat edilirse şube 1 ve şube 2’deki P 2002 ve 662’nin IP adresi aynıdır. Bu IP
adresleri aynı da olabilir farklı da.
Biz şube 1’deki P 2002’nin ve 662’nin ayarlarını anlatacağız. Şube 2’deki P 2002 ve
662’nin ayarları da mantık olarak aynıdır.
Telefon makinası
P 2002 (1)
P 2002 (2)
IP: 192.168.1.5/24
Gateway: 192.168.1.1
IP: 192.168.1.5/24
Gateway: 192.168.1.1
LAN IP: 192.168.1.1/24
LAN IP: 192.168.1.1/24
Şube2: 662HW-61
Şube1: 662HW-61
WAN IP: 212.156.174.154
WAN IP: 81.215.197.208
Internet
P 2002’nin ayarlanması
P 2002’yi router’un arkasına direkt takabilir veya aradaki swtich’e bağlayabilirsiniz.
Switch’ten gelen kabloyu arka paneldeki LAN portuna takın. Eğer PC’ye gelen
network kablosunu 2002’nin LAN portuna bağladıysanız PC için ayrı bir kablo
çekmeye gerek yoktur. 2002 üzerindeki PC portunu da PC’ye bağlayarak 2. bir kablo
çekme zahmetinden kurtulmuş olursunuz.
P 2002 default ayarlarda DHCP client durumundadır. 192.168.5.1 olan management
amaçlı bir IP adresi vardır. Cihaza erişmek için PC’nize 192.168.5.0 subnetinden bir IP
verin. Internet Explorer’a 192.168.5.1 yazıp cihaza erişin. Defalut şifre “1234” tür.
Cihaz şifreyi değiştirmeniz yönünde sizi uyarır. Yeni şifrenizi 2 defa girip “Apply”
222
butonuna bastıktan sonra tekrar şifre sorma ekranı gelir. Yeni şifrenizi girip cihazın
web arayüzüne ulaşın.
Sol taraftaki menüde “ETHERNET” bölümünü seçin. Aşağıdaki ekran karşınıza
gelecektir.
P 2002’ye IP adresi olarak topolojide görüldüğü üzere 192.168.1.5 verdik. DNS server
IP adresi yazmaya bu uygulamada gerek yoktur. “Apply” butonuna bastıktan sonra
bağlantı kesilecektir.2002’ye LAN portunun IP adresiyle bağlanmak için PC’mizin IP
adresini de 192.168.1.X subnetine çekmeliyiz.
Cihaza tekrar bağlanın. Sıra geldi SIP ayarlarını yapmaya. Şube 1’deki P 2002’ye 101
ve 102, şube 2’deki P 2002’ye 201 ve 202 vereceğiz. Tabii siz dilediğiniz SIP no’yu
vermekte serbestsiniz. SIP hesaplarını ayarlamak için sol menüdeki “VOIP” linkine
tıklayın. Gelecek ekranın sağ üstünde “SIP Account” bölümünde “SIP1” seçili
olduğundan emin olun. SIP Number bölümüne 101 yazıyoruz. Karşı taraftan 101
arandığında 2002’nin hangi portuna bağlı olan telefonun çalmasını istiyorsak
“Incoming Call apply to” alanında ilgili kutucuğu seçiyoruz. Düzenli olsun diye 101
arandığında 1. porta takılı olan telefon, 102 arandığında 2. porta takılı olan telefon
çalsın istiyoruz. Bu saydafa yapılcak ayarlar bu kadardır. Diğer alanları değiştirmeyin,
aynen kalsınlar.
223
İleri düzey aramalar için Settings butonuna basın. RTP Port Range kısmının aynen
kalmasında mahzur yoktur. Voice Compression kısmında analog işaret olan sesin
digital işaret olan IP paketlerine çevrilirken hangi codec’in kullanılacağını belirtin.
Cihaz 2 çeşit codec destekler. G.711 64 Kbps, G.729 8 Kbps band genişliği kullanır.
Codec seçerken hattınızın upload hızını göz önünde bulundurun. 1024/256 Kbps ve
üzeri hatlarda G.711 kullanılabilir. Band genişliğinden tasarruf etmek istiyorsanız
G.729 seçilmelidir.
“Use NAT” bölümünde “Server Address” alanına 2002’nin Internet’e çıktığı 662’nin
WAN IP adresini yazıp değişikliklerin saklanması için “Apply” butonuna basın.
SIP 2’nin ayarlanması da bu şekildedir.Farklı olarak “Active” kutusu işaretli değildir,
burayı işaretleyin. SIP Number olarak 102 girin, Incoming Call apply to alanında
“Phone2”’yi seçin. Settings butonuna basarak SIP 1’de yaptığımız ayarların aynısını
yapın.
224
Karşı tarafı aramak için karşının SIP no’larını buradaki 2002’ye girmek gerekiyor.
Bunun için sol panelden “PHONEBOOK” linkine tıklayın. “Speed Dial” olarak 1. kaydı
seçin. SIP Number alanına arayacağımız numarayı, “Name” alanına tanımlayıcı bir
isim, örneğin “sube2” yazın.(Türkçe karakter kullanmayın) Type olarak “Non-Proxy
(Use IP or URL)” seçin ve “Add” butonuna basarak kaydı ekleyin. “Speed Dial” olarak
2. kaydı seçerek aynı şekilde gerekli alanları dooldurun.
Bizim örneğimizin tamamlanmış hali aşağıdaki gibidir.
225
Telefon portları ile ilgili ayarlar için sol menüdeki “Phone” menüsünü seçin. Ekranın
sağ üstünde “Phone Port Settings” kısmında ayar yapmak istediğiniz telefon portunu
seçin.
Speaking Volume ve Listening Volume bölümlerinde sırasıyla giden ve gelen ses
seviyesi ayarı yapılır. “-1” en düşük, “1” en yüksektir. Port 1’deki telefonu kaldırınca
SIP 1’den arama yapmak için “Outgoing Call use” bölümünde SIP 1 seçilir. Kendi
sesinizin yankılanmasını istemiyorsanız “G.168 Active kutusu işaretli olmalıdır.
2002’nin firmware versiyonu V3.60(MD.2)C0 ise “VAD Support” işaretlidir. Bu
kutunun üzerindeki seçimi kaldırın.
Aynı ayarları “Phone Port Settings” kutusundan “Phone2” seçerek 2 nolu telefon
portu için de yapın.
Arama yaparken numaraları tuşladıktan sonra P 2002’nin aramayı başlatmadan önce
kaç saniye beklemesini istiyorsanız “Dialing Interval” bölümüne bu değeri girin.
Değişiklikleri Apply butonuna basarak saklayın.
226
662HW’nin konfigurasyonu
662 üzerinde yapılacak ayarlar aşağıdaki gibidir
1-) NAT bölümünden 5060 ve 50000-65535 aralığının P 2002’ye yönlendirilmesi. 5060
portu sinyalleşme, 50000-65535 aralığı ise ses paketlerinin gidiş-gelişinde kullanılır.
Hatırlanacağı üzere P 2002 ayarlarında RTP Port Range default olarak bu değerlere
ayarlıydı. 662’ye web arayüzünden bağlanın, Advanced Setup altındaki NAT linkine
tıklayın. “SUA Only” yanındaki “Edit Details” linkine tıklayın. Aşağıdaki şekildeki gibi
bahsettiğimiz portları P 2002’ye yönlendirin.
2-) WAN to LAN önünde bu portlara gelen isteklere izin veren bir firewall kuralı
oluşturun.
227
ftp://ftp.zyxel.com.tr/TEKNIK_BULTENLER/ZyXEL_Prestige/
“ZyXEL_ADSL_routerlarda_port_yonlendirmesi”
isimli
dosyada
anlatılmaktadır.
adresindeki
bu
ayarlar
3-) 662HW’de SIP ALG’yi disable edin. SIP ALG SIP paketlerini tanıyan ve bu paketler
üzerinde değişiklik yapan bir “controller” dur. P 2002’de “Use NAT” özelliğini
kullandığımızdan dolayı SIP ALG’yi kapatmalıyız. Bunun için 662HW’ye telnet ile
bağlanın, Menu 24.8’e gidin. “ip nat service sip active” yazıp enter’a bastığınızda “SIP
ALG Enable” olduğunu görürsünüz. Bu özelliği kapatmak için “ip nat service sip active
0” komutunu girip enter’a bastıktan sonra “SIP ALG Disable” yazısını görmeniz
gerekir.
Şube 2’deki 2002 ve 662’nin ayarlarını da benzer şekilde yaptıktan sonra 2 nokta
birbirini arayabilir.
Şube 1’den Şube 2’yi aramak için phone 1’e takılı olan telefonu kaldırın. 2002
üzerindeki firmware versiyonu V3.60(MD.3) veya daha yukarı ise çevir sesi yerine
kesik kesik bir uyarı sesi duyarsınız. Bu SIP server’a kayıt olmadığınızı gösterir. Bizim
uygulamamızda SIP server’a kaydolma yok zaten. Bu kesik kesik olan sesi dikkate
almayıp Şube 2’nin 201 numarasını aramak için #01, 202 numarasını aramak içn #02
tuşlayın. Karşı taraf telefonu açtığında konuşabilmeniz gerekiyor.

ZyXEL PARTNER EĞİTİMLERİ KURS DÖKÜMANI NETRON

Transkript

Benzer belgeler

Üsküdar Üniversitesi Üsküdar Üniversitesi Bilişim Kaynakları

LİNKSYS X6200 VDSL MODEM KURULUMU

Ürün dokümanı

Bölüm 17 FBs-32DGI Thumbwheel Switch Giriş

Automation Extreme Wireless // SİSTEMATİK KONTROL

Log Analyzer Kurulum (TR)