ulaknet arka uç bant genişliği optimizasyonu
TRANSCRIPT
1
Arka Uçlar için Bant Genişliği
Optimizasyonu7. Ulaknet Çalıştayı
Mayıs 2013, ErzurumMehmet Ali Öksüz – Ankara ÜniversitesiMurat Özalp – Bilecik Ş.E. Üniversitesi Sürüm: 1.7
2/31
İçindekiler
• Problemin tanımı
• Yerleşkeler arası trafikte neler var?
• Arka uçların bağlantılarını nasıl daha verimli kullanabiliriz?
• Kullanılabilecek sistemler
• Örnek senaryolar
3/31
Problem: Teknikten çok, idari
• İnternet (özellikle kurumsal internet) ülkemizde halen pahalı.
• Devlet olarak; kendi kurumlarımız arasında kendi yollarımız ve olanaklarımız olmasına rağmen F/O çekemiyor, yabancının çektiklerine kira ödeyerek kullanıyoruz.
• Telekom özelleştirmesinde şartnameye bir-iki madde eklenerek bu sıkıntı büyük oranda azaltılabilirdi.
4/31
Bant Genişliği İhtiyacı Sürekli Artıyor
• İnternet kullanımı sürekli yaygınlaşıyor: anneler, babalar da artık internette. İnternet olmayan bilgisayarda hiçbir şey yapamıyoruz.
• Feci halde tüketici olduk. Sevdiğimiz şarkıyı (klibi ile beraber) onlarca kere internetten dinliyoruz. Aynı ağ kaynaklarını her seferinde işgal ediyoruz.
• Klavye kullanmayı sevmiyoruz, dokunarak ve sürterek gezinmeyi tercih ediyoruz. “İnternet beni eğlendir!”
5/31
Klasik Bir ULAKNET Ucu
ULAKNETOMURGASI
Ana UçXYZ Üniversitesi(Merkez Yerleşke)
≥ 100 Mb/s
Arka UçABC
Yüksekokulu
Arka UçDEF
Fakültesi
5-20 Mb/s 5-20 Mb/s
7/31
• Herkesin evinde en az 4-8 Mb/s İnternet var (benim gibi istisnalar hariç).
• 20Mb/s ile bağlanan bir arka uçta, 50 personel ve bir tane de 50 PC'lik laboratuvar varsa, KBDYBG(*) = 200 Kb/s
• Arka uç ile merkez arasındaki trafikten haberdar mıyız?
• Arka uç ile merkez arasında herhangi bir trafik denetimi yapıyor muyuz?
(*) KBDYBG: Kişi Başına Düşen Yaklaşık Bant Genişliği
Arka Uçlarda İnternet Yetersiz. NEDEN?
8/31
Yerleşkeler Arasında Neler Oluyor?
• İsteyerek başlattığımız trafiğinin haricinde taşıdığımız yayın trafikleri:– Virüsler
– Microsoft Windows ağ komşuluk dedikoduları
– Hatalı yapılandırılmış istemci mesajları
– Keşif protokolleri (Bonjour, IPv6 keşif mesajları, CDP, vb.)
– Kötü niyetli kişiler veya yazılımlar tarafından oluşturulan trafik
– vb.
• Trafik analizi– En çok hangi protokoller var?
– En çok trafik yapan bilgisayarlar hangileri
– Yazılımlar: Wireshark, ntop, OpenNMS, flow analiz yazılımları, CACTI, Snort, vb.
– Ankara üniversitesi 22.000 aktif ucun olduğu ağda, yıllık ücreti 900 TL'lik bir ürünle tüm 4. katman protokol analiz ihtiyacını flow ile karşılıyor.
10/31
Arka Uçtaki Tüm Trafik Merkeze Geliyor mu?
Arka Uç
Merkez Yerleşke
Yerleşkeler arasında, ikinci katmanda bağlantı yapmak gerçekten gerekli mi?
MetroEthernet
12/31
Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor?
• (1) VLAN'lar merkezde sonlanabilir.– Birçok kurumda (Bilecik dahil) şu anda durum böyle.
– Yapılandırma sade. Tüm yönlendirme yapılandırması merkezde, omurga anahtarında.
– Arka uçlarda MetroEthernet anahtarının tag ayarı hariç; aktif cihaz veya yapılandırma yok.
– Arka ucun VLAN'ını merkezde de doğrudan kullanabiliyoruz.(Gerekli mi?)
• Sıkıntılar:– Denetimsiz bağlantı, eninde sonunda şişecek. Uzak yerleşkelerde internet'e
girip gezinmek isteyenler farketmiştir, merkezdeki tadı vermiyor internet :(
– Güvenlik kamerası, VoIP, vb. kritik veriler taşınacağı zaman, bant genişliğinin her bir bps'si önem kazanıyor.
– Uzak yerleşkede öğrenciye -denetimsiz- kablosuz yayın yapıldığında; arka uç bant genişliği asla yetmeyecek!
13/31
Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor?
• (2) VLAN'lar arka ucun kendisinde sonlanabilir.– Her arka ucun IP yönlendirmesi kendi üzerinde.
– Arka uçlar arasında birden fazla rota yoksa, dinamik yönlendirmeye gerek yok, yapılandırma basit.
– OSI modelinde; 2. ve 3. katmandaki tüm yayın (broadcast) trafikleri arka ucun kendi içerisinde kalıyor. Bant genişliğinde doğrudan bir rahatlama oluyor.
– Arka uç yönlendiricisinde; 4. katmanda Erişim Denetim Listesi (ACL) yazılabilir.
– Eğer bu arka uç yönlendiricisi bir kutu değil de sunucu tarzında bir cihaz ise; değmeyin keyfine :)
• Detaylı istatistikler, özel raporlar, detaylı ve esnek filtrelemeler, trafik önceliklendirme, trafik şekillendirme, 5651 loglaması, kategori tabanlı trafik denetimi, http ve smtp virüs taraması, VPN, sıkıştırma, vb...
• Sıkıntı:– Arka ucun VLAN'ını merkezde de doğrudan kullanamıyoruz. Yani; bir arka uçta
kullandığımız 10.8.112.0/24 ağına merkez yerleşkeden de bir PC dahil etme olanağı kalmıyor. Gerçekten gerekli mi?
14/31
Bant Genişliğini Rahatlatma
• Web önbellekleme– Microsoft (WSUS yoksa), Adobe, Antivirüs, vb. güncellemeler
– Gazete, vb. yoğun bakılan içeriği hızlı verip rahatlık hissi verebilir.
– Her arka uçta bir sunucu planlanması gerekmektedir.
• Deepfreeze tarzında dondurma sorunu– Güncellemeler kalıcı olmadığı için, bilgisayar her kapanıp açıldığında
yeniden indiriliyor. WSUS kullanılsa da diğer güncellemeler sıkıntı. Yapılabilecekler:
• Kurumsal sürüme terfi edilebilir
• Güncellemeler önbelleklenebilir veya WSUS gibi sistemler kullanılabilir.
• Belirli peryotlarla manuel olarak makineler çözülüp güncellenebilir.
• Tüm güncellemeler devre dışı bırakılabilir. Zaafiyet kapatan güncellemeler açısından riskli. Bilgisayar bir botnet adına bir süre çalışıp, resetlendiğinde hafıza kaybına uğramış gibi temiz uyanabilir. Sorunun takibi de zor olacaktır.
16/31
Bant Genişliğini Rahatlatma
• Yerleşkeleri 3. katmanda bağlayalım– Önceki slaytlarda bahsedilmişti.
– IP yönlendirme işleminin uzak yerleşkede (arka uçta) yapılması. Bu sayede 2. katman trafiklerinin merkeze taşınmasının engellenmesi.
– İnternet'e doğru yapılan bazı engellemelerin arkadaki yönlendiricide yapılması. Örnekler:
• LAN → WAN “TCP-25” engellenmesi
• LAN → WAN “P2P” portlarının engellenmesi
• LAN → WAN “MS Paylaşım” portlarının engellenmesi
• LAN → WAN kötü IP listesinin engellenmesi (botnet'ler, vb.)
• LAN ↔ WAN kötü trafiğin engellenmesi. Parçalanmış (fragmented), hatalı kurulmuş (SYN, SYN-ACK, ACK handshake sorunlu), vb.
• Yapılabiliyorsa, sadece gereklilere (TCP:80,25,110,587,443 – UDP:53 gibi) izin ver; gerisini kapat. Ankara Üniversitesi yapıyor. Yönetim desteği önemli.
– İstenirse diğer başka denetim işlemlerinin de yapılabilir.
17/31
Trafik Şekillendirme• Tek bir şekli ve çözümü yok.• Amaç; trafiğin kontrollü ve sağlıklı bir şekilde
akması (istekler, araç trafiğine benziyor).– Herkese eşit hak verilsin.
– Geçiş üstünlüğü olanlar, duraksamadan devam etsin.
– Trafik sıkışmaya başladığında, öncelikli olanlara herkes yol versin.
– Herkesin kendine ait kotası olsun, kotasını aşınca önceliği azalsın.
– Herkes gideceği yere en kısa yoldan gitsin. Başı boş dolaşan olmasın.
– vb.
• Farklı tipte planlanması mümkün:– Ağ cihazı (anahtar, yönlendirici, vb.) üzerinde
– Hazır kutu cihaz (appliance)
– Standart PC'yi “kutu” haline getiren ücretli/ücretsiz hazır sistemler
– Standart bir işletim sistemi (Linux, BSD, vb.) üzerinde ayrık uygulamalar
18/31
Trafik Şekillendirme(Anahtar Sözcükler)
• Ağ cihazı uygulamaları– Hizmet önceliklendirmesi (QoS). 802.1p, DiffServ
• Hazır kutu cihaz üreticileri– A10 Networks, Allot, Blue Coat, F5 networks, Ipoque, Meraki (Cisco),
NetEqualizer, Packeteer, vb.
• Hazır yazılımlar– Clearos, Endian, Monowall, PfSense, Smoothwall, Untangle, Zentyal, vb.
• Linux üzerinde uygulamalar– iptables, ipp2p, l7-filter, tc
• BSD üzerinde uygulamalar– pf, altq
20/31
Iptables ve tc ile örnek
# iptables -- trafiği sınıflandırmaiptables -t mangle -A POSTROUTING -p udp --sport 8002:8003 -j CLASSIFY --set-class 1:10iptables -t mangle -A POSTROUTING -p udp --dport 8002:8003 -j CLASSIFY --set-class 1:10
# tc -- sınıflandırılmış trafiği önceliklendirmetc qdisc add dev $INT handle 1 root htb default 20tc class add dev $INT classid 1:1 htb rate 9mbit ceil 9mbittc class add dev $INT classid 1:10 parent 1:1 htb rate 1mbit ceil 2mbit prio 0tc class add dev $INT classid 1:20 parent 1:1 htb rate 7mbit ceil 8mbit prio 2tc qdisc add dev $INT parent 1:20 handle 20: sfq perturb 10
21/31
Bazı Sitelere Erişiminin Engellenmesi
• Sözcük tabanlı engelleme– “False positive” olasılığı çok fazla. Uğraşmak, güncellemek zor.
• Kategori tabanlı engelleme– “porno, kumar, oyun sitelerini engelleyelim” şeklinde kolayca kural
koyulabiliyor.
– Ücretli veya ücretsiz çözümler var.
– Ücretli çözümler genelde kategori veritabanının güncellenmesi için abonelik ücreti istiyor.
• Yönetim desteği şart !• WAN tarafında (tek bir yerde) engellenmesi
tüm ağı rahatlatmak için yeterli.
23/31
Bazı Servislerin Arka Uçta Verilmesi
• WSUS: Microsoft güncelleme sunucusu– “İstemciler Microsoft güncellemelerini yerelde çalışan bu sunucudan alsın”
– WSUS kurulduktan sonra, AD varsa istemciler bunu kullanmaya zorlanabiliyor.
– AD kullanılmıyorsa; küçük bir regedit dosyası oluşturularak, istemcilerde çalıştırılması sağlanabiliyor.
– Master-Slave şeklinde bir yapı ile kurulabiliyor. Arka uçlarda birer WSUS sunucusu slave olarak çalıştırılabiliyor. Slave sunucularda; “ana sunucunuz, merkez yerleşkede olandır” şeklinde basit bir ayar yapmak yeterli.
• Kurumsal antivirüs sistemi de master-slave şeklinde kurulabilir.– Yoğunluğa göre; her yerleşkede bir ikincil antivirüs sunucusu planlanabilir.
– Birçok antivirüs firması (Kaspersky, McAffee, Symantec, vb.) dağıtık sunucu yapısını desteklemektedir.
24/31
Bazı Servislerin Arka Uçta Verilmesi
• DHCP: IP dağıtımı arka uçta yapılabilir.• DNS: Her arka uçta bir yansı “secondary
DNS” tutulabilir.• SYSLOG: Arka uçtaki log'lar burada
toplanabilir. Gerekirse; arşivlemek/imzalamak için gece boş saatlerde merkeze çekilebilir.
• Bunların hepsi (hatta daha fazlası) aynı makinede kolaylıkla yapılabilir.
25/31
Arka Uçlarda Kamera Sistemleri
• 720p (HD) bir kameranın tam çözünürlük ve 25fps şeklindeki H264 kodlanmış görüntüsü ortalama 5Mb/s !
• Uzaktaki yerleşkedeki kameraların bu şekilde görüntülerinin merkeze alınması şu anda imkansız.
• PROBLEM: Uzak yerleşkede afet olursa, kamera görüntülerini kaybedecekmiyiz ?
26/31
Arka Uçlarda Kamera Sistemleri
• Her yerleşkede kayıt ünitesi kesinlikle olmalı ve kendi kameraları buraya kaydetmeli.
• Her yerleşkeden örnek birkaç kamera seçilmeli bunların görüntüsü merkeze aktarılmalı.
• Görüntüler aktarılırken kameralar birden fazla akış (stream) destekliyorsa farklı prosedürler belirlenebilir:
– Akış1: 1280x720 boyutunda, 25 fps → kendi depolamasına gönder.
– Akış2: 320x240 boyutunda, 1fps → merkez yerleşkeye gönder.
• Görüntülerin bir kopyasının gece boş saatlerde merkeze gönderilmesi sağlanabilir.
27/31
Raporlama, İstatistik ve Alarmlar
• Gözle muayene basit ve önemlidir. Arada sırada grafiklere bakmaktan zarar gelmez.
• Özellikle flow verisinin grafikleri ve raporları işimizi çok rahatlatacaktır.
• Cacti, Sawmill, ManageEngine gibi firmaların güzel raporlama araçları var.
• Bazı programlarda eşik değeri belirlenilip alarm ayarlanabiliyor. Örnek:– ABC yerleşkemin bant genişliği %90'ı geçtiğinde, e-
posta ile haber ver.
• “Yönetim desteği” alınabilmesi için, yönetime cicili-bicili grafikler vererek durumu izah etmek lazım. Flow verisi bunun için de önemli.
28/31
Örnek Senaryo (Topolojiyi Hatırlayalım)
ULAKNETOMURGASI
Ana UçXYZ Üniversitesi(Merkez Yerleşke)
≥ 100 Mb/s
Arka UçABC
Yüksekokulu
Arka UçDEF
Fakültesi
5-20 Mb/s 5-20 Mb/s
29/31
Arka Uç İçin Örnek Senaryo 1:PfSense Kullanımı
• IP Yönlendirme (doğal olarak L2 trafiği kesme)
• L3, L4 güvenlik duvarı
• Trafik şekillendirme
• Saldırı tespit ve engelleme
• Web önbellekleme
• Kategori tabanlı URL filtreleme
• DHCP ile IP dağıtma
• İkincil DNS servisi
• Flow verisi alma ve işleme
• vb.
30/31
Arka Uç İçin Örnek Senaryo 2:Linux Kullanımı
• IP Yönlendirme
• iptables: L3, L4 güvenlik duvarı
• tc: Trafik şekillendirme
• snort: Saldırı tespit ve engelleme
• base: Snort için web tabanlı gui
• squid: Web önbellekleme
• sarg: Squid için web tabanlı gui
• dansguardian: Kategori tabanlı URL filtreleme
• isc-dhcp: DHCP ile IP dağıtma
• bind: İkincil DNS servisi
• Flow verisi alma ve işleme:flow-tools, fprobe, nfsen, nfdump, …
• rsyslog: Syslog sunucusu
• vb.
31/31
BİTTİ
Teşekkürler
Bu
çalış
ma
Cre
ativ
e C
omm
ons
Alın
tı-L
isan
sıD
evam
Ett
irme
3.0
Unp
orte
d Li
sans
ı ile
lisa
nsla
nmış
tır.