GBT-C1106 - Network çok büyüdü, işler karıştı. Ne yapacağım şimdi?

GBT-C1106 - Network çok büyüdü, işler karıştı. Ne yapacağım şimdi?

 

Bu çözümde CLR Networks'ün yönetilebilir omurga ve kenar switchlerini kullanabilirsiniz.

 

 

 

Mevcut Ethernet Ağını VLAN'lar ile bölümleme ve Internet'e çıkış

Türk Telekom veya Superonline gibi ADSL/VDSL Modem kullanımı söz konusuyken...

 

Çok çeşitli tiplerde ağ bileşenlerine ve veri türlerine sahip olan büyük bir ethernet ağınız var. Bu büyük ağı ilgili veri türlerini kendi içinde izole edecek şekilde bölümleyerek sadeleştirmek, gerekirse bu izole bölgeleri birbiri arasında da haberleştirebilmek, bütün bunlara ilaveten bu ağ bileşenlerinin internete çıkışını sağlamak istiyorsunuz.

Üstelik Internet çıkışınız için elinizde sadece telekom firmasından temin ettiğiniz, kısıtlı yeteneklere sahip olan ADSL veya VDSL modem bulunuyor.

Bu anlatılan senaryoyu da aşağıda listelenen ve resmedilen örnek koşulları sağlatacak şekilde tasarlamak istiyorsunuz:

  • Yönetmekte olduğunuz ağda, merkezi bir idare noktası ve dört adet uzak saha bulunuyor.
  • Bu sahalarda ve merkezi noktanızda bilgisayarlar, IP kameralar, Access Pointler ve SCADA sistemleri mevcut.
  • Sabit bilgisayarlar şirket çalışanlarına ait,
  • Access Pointler sadece ziyaretçilere hizmet veriyor,
  • IP kameralar tüm sahalara dağılmış. Bir NVR ile lokalde kayıt tutuyorsunuz, bir başka NVR ise farklı bir şehirde yedekleme amaçlı real-time kayıt tutuyor.
  • SCADA sistemleri de aynı şekilde lokaldeki ve şirket dışındaki birer sunucuya veri gönderiyor.
  • Şirket bilgisayarları ve APlere bağlı misafir cihazların verileri kesinlikle birbirinden ayrı yürümeli.
  • IP kamera görüntüleri ve SCADA trafiği şirket çalışanlarını yavaşlatmamalı
  • Kısaca dört farklı izole sub-network tanımlanarak her izole alanın trafiği kendi içinde kalmalı, örneğin broadcastler bölge dışına çıkamamalı.
  • Bu dört farklı alanındaki cihazlar internete çıkabilmeli.
  • Son olarak da bu alanlar arasında istenildiğinde iletişim sağlanabilmeli. Örneğin bir şirket yetkilisi isterse IP kamera görüntülerine ulaşabilmeli, kendi alt ağı dışında olduğu halde.

 

Bütün bu istekleri yerine getirebilmek için öncelikle ağı dört adet zone şeklinde bölümlemek gerekiyor. Bunun için VLAN işlevi kullanılır. Önce aşağıdaki çizime göz atalım ve bu senaryonun nasıl gerçekleştirileceğini belirleyelim;

 

vlan ve routing

 

Yukarıdaki çizimde yer alan cihazlar:

  • Internet'e çıkış noktasında bir adet standart Türk Telekom VDSL modem. Bu modemin bir dış bacağı ve bir de iç bacağı bulunuyor. İçeriden dışarıya NAT işlevi sayesinde çıkış sağlıyor. Ancak bu modem VLAN tanımlama veya VLAN arayüzlerine IP adres tahsisi gibi işlevleri yerine getiremiyor.
  • Merkezi yönetim noktasında bir adet omurga switch. Bu switchin sahalardan gelen ana bağlantıları karşılamak için fiber optik portları ve ilaveten lokal bağlantılar için bakır RJ45 portları bulunuyor. Türk telekom modeminin yapamadığı VLAN ve IP routing işlemlerini bu switch üzerinde tanımlamamız gerekiyor. Yani hem inter-VLAN hem de intra-VLAN veri akışını mecburen bu switch üstlenecek.
  • Kaç adet olduğu belli olmayan, tüm sahalardaki kenar switchler. Bu kenar switchler fiber optik portları üzerinden merkez noktadaki omurga switch ile irtibatlanmış vaziyetteler. Ağdaki tüm HOST'lar bu kenar switchler üzerinden çalışacaklar.
  • Ağdaki HOST'lar yani tüm bilgisayarlar, APler, IP kameralar, SCADA cihazları. Bütün bu hostlar kenar switchler üzerinde tanımlanan ilgili RJ45 portlar üzerinden kendi sanal bölgelerine hapsolacaklar.

 

Bu tarif edilen senaryonun çalışması için gereken aşamalar:

AŞAMA-1

Omurga switch üzerinde dört adet VLAN interface yaratılır. Bu arayüzler her bir izole bölgenin başlangış noktasıdır. Yani her bir VLAN arayüzüne tahsis edilen IP adresi, aslında bir IP sub-network açılışı demektir. Bu IP alt ağında yer alan tüm hostlar için diğer ağlara default çıkış noktası, omurga switch üzerinde tahsis edilmiş olan bu VLAN IP adresleridir.

 

AŞAMA-2

Tüm kenar switchler üzerinde aynı VLAN'lar yaratılır. Ancak buradaki VLANlara IP adresi girilmez. Çünkü bu VLANlar, host IP'leri ile omurga switchteki VLAN IP'leri arasında bir yol olarak kullanılacaktır. Yani sanal bir kablodan farkı yoktur bunların.

Kenar switchlerde, ilgili RJ45 portlar "access" modunda (untagged), oluşturulan bu VLAN'ların içine tanımlanır.

AŞAMA-3

Omurga switch ile kenar switchler arasında yapılmış olan fiber bağlantılar "trunk" olarak (tagged) tanımlanır. Trunk'lar tüm vlanları iletir.

AŞAMA-4

Tüm host cihazlara ilgili VLAN'ın oluşturduğu IP subnet içinde kalacak şekilde IP adresleri tahsis edilir.

Her bir hostun "default gateway" tanım alanına o VLAN'ın omurga switchteki çıkış IP adresi girilir. Bu sayede kendi ağı dışındaki bir VLAN'a veya Internet'e çıkmak isteyen bir host, paketlerini bu default gateway'e yönlendirir.

AŞAMA-5

Bu aşamaya kadar yapılan tanımlar sayesinde Internet'e çıkcak olan bir hostun paketleri omurga switche ulaştı. Peki bu paketler telekom modemine nasıl iletilecek?

Bu noktada omurga switch içinde bir satır ROUTE girmek gerekir: Kendi üzerinde tanımlı olmayan tüm IP networklere çıkış için "default next hop" adresi girilir. Bizim senaryoda, bu next hop telekom modemin switche bakan bacağı oluyor.

AŞAMA-6

Son yapılan bu ROUTE tanımı sayesinde paketler internete çıktı, buraya kadar sorun yok. Ancak Internet'ten bize dönüş yolunda telekom modemine ulaşan paketler nasıl içeriye iletilecek. Modem hangi subnetin nerede olduğunu bilmiyor ki.

Bu aşamada telekom modemine login olup, her bir subnet için ROUTE satırı girilecek. Her bir subnete çıkış için next hop olarak omurga switchin modeme bakan bacağı tanımlanacak.

 

Artık dönüş yolu da cihazlara öğretilmiş olduğuna göre senaryomuz tüm istekleri karşılayacak şekilde çalışmaktadır.

 

 

 

Yorum Yap

Not: HTML'e dönüştürülmez!
    Kötü           İyi

Doğrulama Kodu
  • Görünüm: 1467
  • Ürün Kodu: GBT-C1106
  • Stok Durumu: Stokta var