Ulaknet arka uç bant genişliği optimizasyonu

1

Arka Uçlar için Bant Genişliği

Optimizasyonu7. Ulaknet Çalıştayı

Mayıs 2013, ErzurumMehmet Ali Öksüz – Ankara ÜniversitesiMurat Özalp – Bilecik Ş.E. Üniversitesi Sürüm: 1.7

2/31

İçindekiler

• Problemin tanımı

• Yerleşkeler arası trafikte neler var?

• Arka uçların bağlantılarını nasıl daha verimli kullanabiliriz?

• Kullanılabilecek sistemler

• Örnek senaryolar

3/31

Problem: Teknikten çok, idari

• İnternet (özellikle kurumsal internet) ülkemizde halen pahalı.

• Devlet olarak; kendi kurumlarımız arasında kendi yollarımız ve olanaklarımız olmasına rağmen F/O çekemiyor, yabancının çektiklerine kira ödeyerek kullanıyoruz.

• Telekom özelleştirmesinde şartnameye bir-iki madde eklenerek bu sıkıntı büyük oranda azaltılabilirdi.

4/31

Bant Genişliği İhtiyacı Sürekli Artıyor

• İnternet kullanımı sürekli yaygınlaşıyor: anneler, babalar da artık internette. İnternet olmayan bilgisayarda hiçbir şey yapamıyoruz.

• Feci halde tüketici olduk. Sevdiğimiz şarkıyı (klibi ile beraber) onlarca kere internetten dinliyoruz. Aynı ağ kaynaklarını her seferinde işgal ediyoruz.

• Klavye kullanmayı sevmiyoruz, dokunarak ve sürterek gezinmeyi tercih ediyoruz. “İnternet beni eğlendir!”

5/31

Klasik Bir ULAKNET Ucu

ULAKNETOMURGASI

Ana UçXYZ Üniversitesi(Merkez Yerleşke)

≥ 100 Mb/s

Arka UçABC

Yüksekokulu

Arka UçDEF

Fakültesi

5-20 Mb/s 5-20 Mb/s

6/31

Bant Genişliği Optimizasyonu Yeni bir Teknoloji Değil

7/31

• Herkesin evinde en az 4-8 Mb/s İnternet var (benim gibi istisnalar hariç).

• 20Mb/s ile bağlanan bir arka uçta, 50 personel ve bir tane de 50 PC'lik laboratuvar varsa, KBDYBG(*) = 200 Kb/s

• Arka uç ile merkez arasındaki trafikten haberdar mıyız?

• Arka uç ile merkez arasında herhangi bir trafik denetimi yapıyor muyuz?

(*) KBDYBG: Kişi Başına Düşen Yaklaşık Bant Genişliği

Arka Uçlarda İnternet Yetersiz. NEDEN?

8/31

Yerleşkeler Arasında Neler Oluyor?

• İsteyerek başlattığımız trafiğinin haricinde taşıdığımız yayın trafikleri:– Virüsler

– Microsoft Windows ağ komşuluk dedikoduları

– Hatalı yapılandırılmış istemci mesajları

– Keşif protokolleri (Bonjour, IPv6 keşif mesajları, CDP, vb.)

– Kötü niyetli kişiler veya yazılımlar tarafından oluşturulan trafik

– vb.

• Trafik analizi– En çok hangi protokoller var?

– En çok trafik yapan bilgisayarlar hangileri

– Yazılımlar: Wireshark, ntop, OpenNMS, flow analiz yazılımları, CACTI, Snort, vb.

– Ankara üniversitesi 22.000 aktif ucun olduğu ağda, yıllık ücreti 900 TL'lik bir ürünle tüm 4. katman protokol analiz ihtiyacını flow ile karşılıyor.

9/31

Yerleşkeler Arasında Neler Oluyor?

10/31

Arka Uçtaki Tüm Trafik Merkeze Geliyor mu?

Arka Uç

Merkez Yerleşke

Yerleşkeler arasında, ikinci katmanda bağlantı yapmak gerçekten gerekli mi?

MetroEthernet

11/31

Arka Uçtaki Tüm Trafik Merkeze Geliyor mu?

Arka Uç

Merkez Yerleşke

12/31

Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor?

• (1) VLAN'lar merkezde sonlanabilir.– Birçok kurumda (Bilecik dahil) şu anda durum böyle.

– Yapılandırma sade. Tüm yönlendirme yapılandırması merkezde, omurga anahtarında.

– Arka uçlarda MetroEthernet anahtarının tag ayarı hariç; aktif cihaz veya yapılandırma yok.

– Arka ucun VLAN'ını merkezde de doğrudan kullanabiliyoruz.(Gerekli mi?)

• Sıkıntılar:– Denetimsiz bağlantı, eninde sonunda şişecek. Uzak yerleşkelerde internet'e

girip gezinmek isteyenler farketmiştir, merkezdeki tadı vermiyor internet :(

– Güvenlik kamerası, VoIP, vb. kritik veriler taşınacağı zaman, bant genişliğinin her bir bps'si önem kazanıyor.

– Uzak yerleşkede öğrenciye -denetimsiz- kablosuz yayın yapıldığında; arka uç bant genişliği asla yetmeyecek!

13/31

Arka Uçlar'daki VLAN'lar Nerede Sonlanıyor?

• (2) VLAN'lar arka ucun kendisinde sonlanabilir.– Her arka ucun IP yönlendirmesi kendi üzerinde.

– Arka uçlar arasında birden fazla rota yoksa, dinamik yönlendirmeye gerek yok, yapılandırma basit.

– OSI modelinde; 2. ve 3. katmandaki tüm yayın (broadcast) trafikleri arka ucun kendi içerisinde kalıyor. Bant genişliğinde doğrudan bir rahatlama oluyor.

– Arka uç yönlendiricisinde; 4. katmanda Erişim Denetim Listesi (ACL) yazılabilir.

– Eğer bu arka uç yönlendiricisi bir kutu değil de sunucu tarzında bir cihaz ise; değmeyin keyfine :)

• Detaylı istatistikler, özel raporlar, detaylı ve esnek filtrelemeler, trafik önceliklendirme, trafik şekillendirme, 5651 loglaması, kategori tabanlı trafik denetimi, http ve smtp virüs taraması, VPN, sıkıştırma, vb...

• Sıkıntı:– Arka ucun VLAN'ını merkezde de doğrudan kullanamıyoruz. Yani; bir arka uçta

kullandığımız 10.8.112.0/24 ağına merkez yerleşkeden de bir PC dahil etme olanağı kalmıyor. Gerçekten gerekli mi?

14/31

Bant Genişliğini Rahatlatma

• Web önbellekleme– Microsoft (WSUS yoksa), Adobe, Antivirüs, vb. güncellemeler

– Gazete, vb. yoğun bakılan içeriği hızlı verip rahatlık hissi verebilir.

– Her arka uçta bir sunucu planlanması gerekmektedir.

• Deepfreeze tarzında dondurma sorunu– Güncellemeler kalıcı olmadığı için, bilgisayar her kapanıp açıldığında

yeniden indiriliyor. WSUS kullanılsa da diğer güncellemeler sıkıntı. Yapılabilecekler:

• Kurumsal sürüme terfi edilebilir

• Güncellemeler önbelleklenebilir veya WSUS gibi sistemler kullanılabilir.

• Belirli peryotlarla manuel olarak makineler çözülüp güncellenebilir.

• Tüm güncellemeler devre dışı bırakılabilir. Zaafiyet kapatan güncellemeler açısından riskli. Bilgisayar bir botnet adına bir süre çalışıp, resetlendiğinde hafıza kaybına uğramış gibi temiz uyanabilir. Sorunun takibi de zor olacaktır.

15/31

Deep Freeze Enterprise

16/31

Bant Genişliğini Rahatlatma

• Yerleşkeleri 3. katmanda bağlayalım– Önceki slaytlarda bahsedilmişti.

– IP yönlendirme işleminin uzak yerleşkede (arka uçta) yapılması. Bu sayede 2. katman trafiklerinin merkeze taşınmasının engellenmesi.

– İnternet'e doğru yapılan bazı engellemelerin arkadaki yönlendiricide yapılması. Örnekler:

• LAN → WAN “TCP-25” engellenmesi

• LAN → WAN “P2P” portlarının engellenmesi

• LAN → WAN “MS Paylaşım” portlarının engellenmesi

• LAN → WAN kötü IP listesinin engellenmesi (botnet'ler, vb.)

• LAN ↔ WAN kötü trafiğin engellenmesi. Parçalanmış (fragmented), hatalı kurulmuş (SYN, SYN-ACK, ACK handshake sorunlu), vb.

• Yapılabiliyorsa, sadece gereklilere (TCP:80,25,110,587,443 – UDP:53 gibi) izin ver; gerisini kapat. Ankara Üniversitesi yapıyor. Yönetim desteği önemli.

– İstenirse diğer başka denetim işlemlerinin de yapılabilir.

17/31

Trafik Şekillendirme• Tek bir şekli ve çözümü yok.• Amaç; trafiğin kontrollü ve sağlıklı bir şekilde

akması (istekler, araç trafiğine benziyor).– Herkese eşit hak verilsin.

– Geçiş üstünlüğü olanlar, duraksamadan devam etsin.

– Trafik sıkışmaya başladığında, öncelikli olanlara herkes yol versin.

– Herkesin kendine ait kotası olsun, kotasını aşınca önceliği azalsın.

– Herkes gideceği yere en kısa yoldan gitsin. Başı boş dolaşan olmasın.

– vb.

• Farklı tipte planlanması mümkün:– Ağ cihazı (anahtar, yönlendirici, vb.) üzerinde

– Hazır kutu cihaz (appliance)

– Standart PC'yi “kutu” haline getiren ücretli/ücretsiz hazır sistemler

– Standart bir işletim sistemi (Linux, BSD, vb.) üzerinde ayrık uygulamalar

18/31

Trafik Şekillendirme(Anahtar Sözcükler)

• Ağ cihazı uygulamaları– Hizmet önceliklendirmesi (QoS). 802.1p, DiffServ

• Hazır kutu cihaz üreticileri– A10 Networks, Allot, Blue Coat, F5 networks, Ipoque, Meraki (Cisco),

NetEqualizer, Packeteer, vb.

• Hazır yazılımlar– Clearos, Endian, Monowall, PfSense, Smoothwall, Untangle, Zentyal, vb.

• Linux üzerinde uygulamalar– iptables, ipp2p, l7-filter, tc

• BSD üzerinde uygulamalar– pf, altq

19/31

PfSense Traffic Shaper Ekranı

20/31

Iptables ve tc ile örnek

# iptables -- trafiği sınıflandırmaiptables -t mangle -A POSTROUTING -p udp --sport 8002:8003 -j CLASSIFY --set-class 1:10iptables -t mangle -A POSTROUTING -p udp --dport 8002:8003 -j CLASSIFY --set-class 1:10

# tc -- sınıflandırılmış trafiği önceliklendirmetc qdisc add dev $INT handle 1 root htb default 20tc class add dev $INT classid 1:1 htb rate 9mbit ceil 9mbittc class add dev $INT classid 1:10 parent 1:1 htb rate 1mbit ceil 2mbit prio 0tc class add dev $INT classid 1:20 parent 1:1 htb rate 7mbit ceil 8mbit prio 2tc qdisc add dev $INT parent 1:20 handle 20: sfq perturb 10

21/31

Bazı Sitelere Erişiminin Engellenmesi

• Sözcük tabanlı engelleme– “False positive” olasılığı çok fazla. Uğraşmak, güncellemek zor.

• Kategori tabanlı engelleme– “porno, kumar, oyun sitelerini engelleyelim” şeklinde kolayca kural

koyulabiliyor.

– Ücretli veya ücretsiz çözümler var.

– Ücretli çözümler genelde kategori veritabanının güncellenmesi için abonelik ücreti istiyor.

• Yönetim desteği şart !• WAN tarafında (tek bir yerde) engellenmesi

tüm ağı rahatlatmak için yeterli.

22/31

DansGuardian

23/31

Bazı Servislerin Arka Uçta Verilmesi

• WSUS: Microsoft güncelleme sunucusu– “İstemciler Microsoft güncellemelerini yerelde çalışan bu sunucudan alsın”

– WSUS kurulduktan sonra, AD varsa istemciler bunu kullanmaya zorlanabiliyor.

– AD kullanılmıyorsa; küçük bir regedit dosyası oluşturularak, istemcilerde çalıştırılması sağlanabiliyor.

– Master-Slave şeklinde bir yapı ile kurulabiliyor. Arka uçlarda birer WSUS sunucusu slave olarak çalıştırılabiliyor. Slave sunucularda; “ana sunucunuz, merkez yerleşkede olandır” şeklinde basit bir ayar yapmak yeterli.

• Kurumsal antivirüs sistemi de master-slave şeklinde kurulabilir.– Yoğunluğa göre; her yerleşkede bir ikincil antivirüs sunucusu planlanabilir.

– Birçok antivirüs firması (Kaspersky, McAffee, Symantec, vb.) dağıtık sunucu yapısını desteklemektedir.

24/31

Bazı Servislerin Arka Uçta Verilmesi

• DHCP: IP dağıtımı arka uçta yapılabilir.• DNS: Her arka uçta bir yansı “secondary

DNS” tutulabilir.• SYSLOG: Arka uçtaki log'lar burada

toplanabilir. Gerekirse; arşivlemek/imzalamak için gece boş saatlerde merkeze çekilebilir.

• Bunların hepsi (hatta daha fazlası) aynı makinede kolaylıkla yapılabilir.

25/31

Arka Uçlarda Kamera Sistemleri

• 720p (HD) bir kameranın tam çözünürlük ve 25fps şeklindeki H264 kodlanmış görüntüsü ortalama 5Mb/s !

• Uzaktaki yerleşkedeki kameraların bu şekilde görüntülerinin merkeze alınması şu anda imkansız.

• PROBLEM: Uzak yerleşkede afet olursa, kamera görüntülerini kaybedecekmiyiz ?

26/31

Arka Uçlarda Kamera Sistemleri

• Her yerleşkede kayıt ünitesi kesinlikle olmalı ve kendi kameraları buraya kaydetmeli.

• Her yerleşkeden örnek birkaç kamera seçilmeli bunların görüntüsü merkeze aktarılmalı.

• Görüntüler aktarılırken kameralar birden fazla akış (stream) destekliyorsa farklı prosedürler belirlenebilir:

– Akış1: 1280x720 boyutunda, 25 fps → kendi depolamasına gönder.

– Akış2: 320x240 boyutunda, 1fps → merkez yerleşkeye gönder.

• Görüntülerin bir kopyasının gece boş saatlerde merkeze gönderilmesi sağlanabilir.

27/31

Raporlama, İstatistik ve Alarmlar

• Gözle muayene basit ve önemlidir. Arada sırada grafiklere bakmaktan zarar gelmez.

• Özellikle flow verisinin grafikleri ve raporları işimizi çok rahatlatacaktır.

• Cacti, Sawmill, ManageEngine gibi firmaların güzel raporlama araçları var.

• Bazı programlarda eşik değeri belirlenilip alarm ayarlanabiliyor. Örnek:– ABC yerleşkemin bant genişliği %90'ı geçtiğinde, e-

posta ile haber ver.

• “Yönetim desteği” alınabilmesi için, yönetime cicili-bicili grafikler vererek durumu izah etmek lazım. Flow verisi bunun için de önemli.

28/31

Örnek Senaryo (Topolojiyi Hatırlayalım)

ULAKNETOMURGASI

Ana UçXYZ Üniversitesi(Merkez Yerleşke)

≥ 100 Mb/s

Arka UçABC

Yüksekokulu

Arka UçDEF

Fakültesi

5-20 Mb/s 5-20 Mb/s

29/31

Arka Uç İçin Örnek Senaryo 1:PfSense Kullanımı

• IP Yönlendirme (doğal olarak L2 trafiği kesme)

• L3, L4 güvenlik duvarı

• Trafik şekillendirme

• Saldırı tespit ve engelleme

• Web önbellekleme

• Kategori tabanlı URL filtreleme

• DHCP ile IP dağıtma

• İkincil DNS servisi

• Flow verisi alma ve işleme

• vb.

30/31

Arka Uç İçin Örnek Senaryo 2:Linux Kullanımı

• IP Yönlendirme

• iptables: L3, L4 güvenlik duvarı

• tc: Trafik şekillendirme

• snort: Saldırı tespit ve engelleme

• base: Snort için web tabanlı gui

• squid: Web önbellekleme

• sarg: Squid için web tabanlı gui

• dansguardian: Kategori tabanlı URL filtreleme

• isc-dhcp: DHCP ile IP dağıtma

• bind: İkincil DNS servisi

• Flow verisi alma ve işleme:flow-tools, fprobe, nfsen, nfdump, …

• rsyslog: Syslog sunucusu

• vb.

31/31

BİTTİ

Teşekkürler

Bu

çalış

ma

Cre

ativ

e C

omm

ons

Alın

tı-L

isan

sıD

evam

Ett

irme

3.0

Unp

orte

d Li

sans

ı ile

lisa

nsla

nmış

tır.