Switch. Access Point. Firewall. Uygulama Dökümanı. v 1.0.0

Transkript

1 Switch + Access Point + Firewall Uygulama Dökümanı v 1.0.0

2 İçindekiler Örnek Topolji Ön Bilgiler Bölüm 1. Switch Yapılandırması 1.1 XGS-4728F Yapılandırması 1.1.a. VLAN IP Adresi Tanımlaması 1.1.b VLAN Oluşturma 1.1.c DHCP Server Oluşturma 1.1.d Link Aggregation 1.1.e Yönlendirme 1.1.f Vlanlar arası izolasyon 1.2 XGS-1910/48 Yapılandırması 1.2.a Cihaz Erişimi / IP Adresi belirleme 1.2.b VLAN Oluşturma ve Portlara VLAN ataması yapılması 1.2.c Link Aggrigation 1.2.d RSTP Yapılandırması 1.2.e RSTP İzlenmesi 1.3 GS HP Yapılandırması 1.3.a Cihaz Erişimi / IP Adresi belirleme 1.3.b VLAN Oluşturma ve Portlara VLAN ataması yapılması 1.3.c RSTP Yapılandırması 1.3.d RSTP İzlenmesi 1.4 GS Yapılandırması 1.4.a Cihaz Erişimi / IP Adresi belirleme 1.4.b VLAN Oluşturma ve Portlara VLAN ataması yapılması 1.4.c RSTP Yapılandırması 1.4.d RSTP İzlenmesi 1.5 Loop Protection

3 Bölüm 2.Access Point Yapılandırması 2.1 IP Yapılandırması ve (Hybrid AP) 2.2 VLAN SSID Oluşturma 2.2.a Şifre Oluşturma 2.3 Radyo profili tanımlama 2.4 AP Controller Yapılandırması Bölüm 3. Firewall Yapılandırması 3.1 Bridge Mod Modem Yapılandırması 3.2 PPP Yapılandırması 3.3 Port Yapılandırması 3.4 VLAN Yapılandırması 3.5 Adres Yapılandırması 3.6 Firewall Yapılandırması 3.7 Port Yönlendirme 3.8 Yönlendirme

4 Şekil 1 Etiket CİHAZ_ADI CİHAZ_TÜRÜ IP ADRESİ PROTOKOLLER A ZyWALL USG 300 Firewall PPP,NAT,PAT,VLAN,Users B XGS 4728F ZyNOS L3 SW IP,DHCP,VLAN,LACP C XGS WebSmart SW VLAN, STP, LACP D GS WebSmart SW VLAN,STP E GS WebSmart SW VLAN,STP F NWA 3560-N N-Series AP VLAN, SSID Tablo 1

5 Şekil 1.1 de oluşturulan senaryo ile cihazlar üzerinde en çok uygulanan protokoller anlatılmıştır. Farklı çözümler için herbir uygulama ayrı ayrı anlatılmıştır. Örnek uygulama için; farklı lokasyonda bulunan kullanıcılar için farklı subnetler oluşturulmuş ve birbirleri ile etkin bir iletişim kurmaları sağlanmıştır. Protokoller ve cihazlar hakkında daha detaylı bilgileri ZyPartner Eğitim dökümanından elde edebilirsiniz. Uyarı Kablolama yapmadan önce cihazların herbirine ayrı ayrı konfigurasyonu yapılmalıdır. Aksi taktirde herhangi bir yapılandırma yapmadan önce kablolama yapıldığı taktirde cihazlar arsında loop oluşacak ve iletişim söz konusu olmayacaktır. Cihaz erişimleri ; Cihazların varsayılan IP Adres yapılandırması aşşagıdaki gibidir; XGS-4728F IP Adresi: Mgmt : / Port: XGS1910/GS1910 IP Adresi : NWA 3000-N Serisi (3160-N/3560-N/3550-N) IP Adresi: Firewall IP Adresi : LAN1:

6 BÖLÜM 1. XGS-4728F Yapılandırması: Layer 3 bu cihaz üzerinde IP tanımlaması yapılacak, oluşturulan VLAN lara DHCP Server ile IP Adresi tahsisi yapılacaktır. Bunun dışında Link Aggregation, STP gibi protokollerin yapılandırmasıda bu cihaz üzerinde bulunmaktadır. 1.1.a. VLAN IP Adresi Tanımlaması VLAN ID VLAN İSMİ IP ADRESİ VARSAYILAN AĞ GEÇİDİ AĞ MASKESİ 1 vlan Müdüriyet (vlan10) Personel (vlan20) Konuk (vlan30) Tablo 2 Tablo2 de görüldüğü gibi farklı VLAN lar oluşturulacak ve bunların IP tanımlamaları L3 switch üzerinde yapılacaktır. Basic Setting -> IP Setup -> IP Interface adımlarını izledikten sonra Şekil 1.1'e ulaşacağız ; Birinci kısım; İkinci kısım; Üçüncü kısım; Default gateway : Cihaz üzerinde tanımlı trafik için varsayılan ağ geçidi (İnternet erişimi için Firewall IP adres) Domain Name Server: DNS Server IP Adresi Management IP Address: Cihaza Mgmt portundan erişmek için kullanabileceğimiz IP Adresini belirleriz. Oluşturulacak VLAN'lar için bu cihaz üzerindeki IP Adresi, Ağ Maskesi ve Vlan numarası belirlenir. Şekil 1.1 ***Domain Namer Server kısımndan boş bıralıp sadece Firewall un IP adresini vermemiz de yeterli olacaktır. ***Bu cihaz üzerinde VLAN lara ait IP Adresi.254 grubundan yazılmıştır. Başka bir IP adresi de kullanılabilirdi.

7 1.1.b VLAN Oluşturma VLAN IP tanımlaması yapıldıktan sonra Vlan'ların hangi portlardan hizmet vereceğini belirlenir. Advantage Application -> VLAN -> Static VLAN adımlarını izleyerek Şekil 1.2'ye erişim sağlanır. Burada; Vlan ı aktif hale getirdikten sonra Vlan ismi ve numarası tanımlanır, daha sonrasında tanımladığımız Vlan ın hangi portlar için geçerli olacağını seçeriz. Vlan 1 bütün portlar için tanımlı olacak, switchler arasındaki bağlantının Tag etiketli olacağı için portlarını Tx Tagg etiketini ilave edilir. Şekil 1.2 Aynı yapılandırmayı Vlan 10 içinde Şekil 1.3'deki gibi yapılandırıyoruz. Burada; portları bu cihaza fiziksel olarak bağlanacak bilgisayarlar için (Clint-PC) ayırıyoruz portlarını VLAN 10'a dahil ediyor ve diğer cihazlarla erişime geçmesi için Tx Tagg etiketi ilave edilir. (ZyPartner dokümanında detaylı bilgi yer almakta) Şekil 1.3 VLAN 20: (Clint-PC) için portlarını Tx Tagg etiketi ile VLAN 20'ye dahil edilir. Şekil 1.4

8 Şekil 1.4 VLAN 30: (Clint-PC) için portlarını Tx Tagg etiketi ile VLAN 30'ye dahil edilir. Şekil 1.5 Şekil 1.5 Vlan tanımlamalarını yaptıktan sonra Advantage Application -> VLAN adımlarını izlediğimde oluşturulan VLAN'lar Şekil 1.6'da olduğu gibi görüntülenmektedir.

9 Şekil 1.6 Cihaza Fiziksel olarak bağlanacak bilgisayarlar(client-pc) için portlara VLAN numaraları tanımlanmalıdır. Advantage Application -> VLAN -> VLAN Port Setting adımlarını izleyerek Şekil 1,7 deki yapılandırmayı gerçekleştiririz. Şekil 1.7

10 1.1.c DHCP Server Kurulumu VLAN üzerinden hizmet alacak istemciler(client-pc) için IP havuzu tanımlaması yapılacak. Burada iki seçenek mevcut ilk'i Global ortamda bulunan DHCP Server dan istemcilere IP ataması yapılabilir. Bir diğer seçenek ise VLAN topolojimizde bir DHCP Server bulunmadığı için cihazımızı DHCP Server olarak yapılandıracağız. IP Application -> DHCP -> VLAN adımlarını izleyerek Şekil 1.8'e erişiyoruz. Şekil 1.8 Herbir VLAN için ayrı IP havuzu oluşturulur. Burada; en önemli konulardan birisi Default Gateway'dir buraya herbir VLAN için bu cihaz üzerinde tanımladığımız IP adresini Varsayılan Ağ geçidi olarak veririz dolayısı ile VLAN'lar arası oluşacak trafiği L3 bu cihaz üzerinden yapabiliriz. Bütün VLAN'lar için yapılandırmalar Şekil 'deki gibidir. Şekil 1.9

11 Şekil 1.10 Şekil 1.11 Şekil 1.12

12 1.1.d Link Aggregation Topolojimizin merkezinde bulunan (Backbone) switch üzerindeki trafiğe bant genişliği kazandırmak adına Link Aggregation kullandık. Advantage Application -> Link Aggregation Settings adımlarını izleyerek Şekil 1.13'e erişim sağlıyoruz. Şekil 1.13 Şekil 1.14'de görüldüğü gibi; T1 etiketini aktif hale getiriyor ve daha sonrasında portları Link Aggregation içerisine ekliyoruz. Şekil Böylece üç bağlantı band genişliği yüksek tek bir bağlantı gibi hareket edecektir. Şekil 1.14 Link Aggregation dinamik bir şekilde yapılandırmak için daha sonrasında LACP seçeneği ile Şekil1.15'de gösterildiği gibi yapılandırmamızı dinamik hale getiriyoruz.

13 Şekil 1.15 Bütün yapılandırmaları yaptıktan sonra durum ekranı Şekil 1.16'daki gibi olacaktır. Şekil 1.16

14 1.1.f Vlanlar arası izolasyon Konuk olarak belirttiğimiz VLAN 30'un diğer bilgisayarlara ve topoloji'deki diğer kaynaklara erişimini engellemek için kurallar oluşturulmalıdır. Şekil 1.17'de VLAN 30 la VLAN 10 arası iletişimi keserken, Şekil 1.18'de VLAN 20 ile VLAN 10 arası iletişimi keser. Şekil 'de ise bu iki VLAN arasında hangi paketlerin kesileceğini ve işlem göreceğini belirtiriz. Şekil 1.17 Şekil 1.18

15 Şekil 1.19 Şekil 1.20

16 Bölüm 1.2 XGS Yapılandırması 1.2.a Cihaz Erişimi / IP Adresi belirleme Varsayılan olarak adresli C etiketli diğer Switch'e erişiyoruz. Sonrasında Tablo1'de gösterildiği gibi IP Adresini değiştiriyoruz. Router olarak L3 switch IP adresini gösteriyoruz.(***böylece iç trafiğimiz L3 switch üzerinden akacaktır) Cihaza erişim ve yönetimi için VLAN 1'e dahil ediyoruz. Configuration -> IP adımlarını izleyerek Şekil 1.21'deki yapılandırmaları yapıyoruz. 1.2.b VLAN Oluşturma ve Portlara VLAN ataması Şekil 1.21 VLAN oluşturmamızdaki asıl amacımız Switch'in fiziksel portlarını farklı VLAN'lara dolayısı ile farklı IP adreslerine bölmek istiyoruz. B cihazı üzerinde tanımladığımız VLAN'ların C cihazı üzerinde de tanımlıyoruz. Configuration -> VLANs -> VLAN Membership adımlarını izleyerek VLAN ayarlarına ulaşıyoruz. Add New VLAN seçeneği ile topolojimizdeki VLAN'ları tanımlıyoruz. Daha sonrasında VLAN'lar için port ataması yapıyoruz. Örnek topoloji üzerindeki amacımız Fiziksel portları farklı VLAN'lara dahil ederek bölmek bu kapsamda ; 1-13 portları ; VLAN portları; VLAN portları; VLAN Port'u Access Point üzerinden erişim sağlayacağı için bütün VLAN'lara dahil ediyoruz. 40.Port'u yönetim (management) için sadece VLAN 1'e dahil ediyoruz portları diğer switchlere bağlantı kuracağı için bütün VLAN'lara dahil ediyorum. (RSTP,LACP için) Şekil 1.22 de detaylı olarak gösterilmiştir.

17 Şekil 1.22 Configuration -> VLANs -> Ports adımlarını izleyerek; Portlara bağlanacak istemcilerin hangi VLAN'a dahil olacağını belirtmek için portlara VLAN ID ataması yapılır. Untag_pvid ; Client PC bağlantıları için kullanılır. Access Point ve Client'lar için Tag_all ; Switchler arasında ki bağlantılar için kullanılır. STP ve LACP için bu etiketler verilmiştir. Apply diyerek yaptığım konfigurasyonu aktif hale getiyoruz. Şekil 1.23 Şekil 1.23

18 1.2.c Link Aggregation B switchi ile C switch i arasında yapılan Link Aggregation için C cihazı üzerinde ki yapılandırma Şekil1.24'teki gibidir. Configuration ->Aggregation -> LACP yolu izlendikten sonra Link Aggregation'a ilave edeceğimiz portları seçeriz. 1.2.d RSTP Yapılandırması Şekil 1.24 Configuration -> Spanning Tree -> Bridge Settings adımlarını izledikten sonra Şekil 1.25'teki yapıya erişiriz. STP protokolunun bir verisyonu RSTP yi seçiyoruz. ZyPartner eğitim dökümanında detaylı olarak belirtiliği üzere burada cihazlar üzerindeki öncelik sırasını belirlemek için Bridge Priorty şecenegini C cihazı için düşük veriyoruz böylelikle C cihazı STP protokul geregi Root Switch oluyor. Şekil 1.25 Configuration -> Spanning Tree -> CIST Ports adımlarını izleyerek Spanning-Tree protokolunun hangi portlar için geçerli olacağını seçiyoruz. Şekil 1.26

19 Şekil e RSTP İzlenmesi STP için yapılan ayarlamaları detaylı olara görebilmemiz için; Monitor -> Spanning Tree -> Bridge Status adımlarını izledikten sonra Şekil 1.27'deki gibi izleme yapabiliriz. Şekil 1.27 Buradan STP protokolü içerisinde hangi Switch in Root Switch hangi portun Root Port,Designeted Port ve Alternate Port olduğunu gözlemeyebiliriz. Herhangi bir yapı değişikliği durumunda portların nasıl değiştiğini de buradan gözlemleyebiliriz. CIST seçeneği üzerinde STP ye bağlı portların durumunu gözlemleyebiliriz. Şekil 1.28

20 Şekil GS HP Yapılandırması 1.3.a Cihaz Erişimi / IP Adresi belirleme Varsayılan olarak adresli D etiketli diğer Switch'e erişiyoruz. Sonrasında Tablo1'de gösterildiği gibi IP Adresini değiştiriyoruz. Router olarak L3 switch IP adresini gösteriyoruz.(***böylece iç trafiğimiz L3 switch üzerinden akacaktır) Cihaza erişim ve yönetimi için VLAN 1'e dahil ediyoruz. Configuration -> IP adımlarını izleyerek Şekil 1.29 'deki yapılandırmaları yapıyoruz. Şekil 1.29

21 1.3.b VLAN Oluşturma ve Portlara VLAN ataması yapılması Configuration -> VLANs -> VLAN Membership adımlarını izleyerek VLAN ayarlarına ulaşıyoruz. Add New VLAN seçeneği ile topolojimizdeki VLAN'ları tanımlıyoruz. Daha sonrasında VLAN'lar için port ataması yapıyoruz. Örnek topoloji üzerindeki amacımız Fiziksel portları farklı VLAN'lara dahil ederek bölmek bu kapsamda ; 1-6 portları ; VLAN portları; VLAN portları; VLAN Port'u yönetim (management) için sadece VLAN 1'e dahil ediyoruz. 20. Port'u Access Point üzerinden erişim sağlayacağı için bütün VLAN'lara dahil ediyoruz portları diğer switchlere bağlantı kuracağı için bütün VLAN'lara dahil ediyorum. (RSTP,LACP için) Şekil 1.30 Şekil 1.30 Configuration -> VLANs -> Ports adımlarını takip ederek; Portlara bağlanacak istemcilerin hangi VLAN'a dahil olacağını belirtmek için portlara VLAN ID ataması yapılır. Untag_pvid ; Client PC bağlantıları için kullanılır. Access Point ve Client'lar için Tag_all ; Switchler arasında ki bağlantılar için kullanılır. STP ve LACP için bu etiketler verilmiştir. Apply diyerek yaptığım konfigurasyonu aktif hale getiyoruz. Şekil 1.31 de detaylı olarak gösterilmiştir.

22 Şekil c RSTP Yapılandırması Configuration -> Spanning Tree -> Bridge Settings adımlarını izledikten sonra Şekil 1.32'deki yapıya erişiriz. D cihazı için öncelik değerini C cihazına göre daha yüksek belirtiyoruz dolayısı ile portlar üzerinde rotayı sadece C cihazına bırakıyoruz. Şekil 1.32 Şekil 1.32 Configuration -> Spanning Tree -> CIST Ports adımlarını izleyerek Spanning-Tree protokolunun hangi portlar için geçerli olacağını seçiyoruz. Şekil 1.33

23 Şekil c RSTP İzlenmesi STP için yapılan ayarlamaları detaylı olara görebilmemiz için; Monitor -> Spanning Tree -> Bridge Status adımlarını izledikten sonra Şekil 1.34'deki gibi izleme yapabiliriz. Şekil 1.34 Buradan STP protokolü içerisinde hangi Switch in Root Switch hangi portun Root Port,Designeted Port ve Alternate Port olduğunu gözlemeyebiliriz. Herhangi bir yapı değişikliği durumunda portların nasıl değiştiğini de buradan gözlemleyebiliriz. CIST seçeneği üzerinde STP ye bağlı portların durumunu gözlemleyebiliriz. Şekil 1.35

24 Şekil GS Yapılandırması 1.4.a Cihaz Erişimi / IP Adresi belirleme Varsayılan olarak olarak E Etiketli Diğer Switch'e erişiyoruz. Sonrasında Tablo1'de gösterildiği gibi IP Adresini değiştiriyoruz. Router olarak L3 switch IP adresini gösteriyoruz. Cihaza erişim ve yönetimi için VLAN 1'e dahil ediyoruz. Configuration -> IP adımlarını izleyerek Şekil 1.36 'deki yapılandırmaları yapıyoruz. Şekil b VLAN Oluşturma ve Portlara VLAN ataması yapılması Configuration -> VLANs -> VLAN Membership adımlarını izleyerek VLAN ayarlarına ulaşıyoruz. Add New VLAN seçeneği ile topolojimizdeki VLAN'ları tanımlıyoruz. Daha sonrasında VLAN'lar için port ataması yapıyoruz. Örnek topoloji üzerindeki amacımız Fiziksel portları farklı VLAN'lara dahil ederek bölmek bu kapsamda ;

25 1-6 portları ; VLAN portları; VLAN portları; VLAN Port'u yönetim (management) için sadece VLAN 1'e dahil ediyoruz. 20. Port'u Access Point üzerinden erişim sağlayacağı için bütün VLAN'lara dahil ediyoruz portları diğer switchlere bağlantı kuracağı için bütün VLAN'lara dahil ediyorum. (RSTP,LACP için) Şekil 1.37 Şekil 1.37 Configuration -> VLANs -> Ports Portlara bağlanacak istemcilerin hangi VLAN'a dahil olacağını belirtmek için portlara VLAN ID ataması yapılır. Untag_pvid ; Client PC bağlantıları için kullanılır. Access Point ve Client'lar için Tag_all ; Switchler arasında ki bağlantılar için kullanılır. STP ve LACP için bu etiketler verilmiştir. Apply diyerek yaptığım konfigurasyonu aktif hale getiyoruz.

26 Şekil c RSTP Yapılandırması Configuration -> Spanning Tree -> Bridge Settings adımlarını izledikten sonra Şekil 1.32'deki yapıya erişiriz. D cihazı için öncelik değerini C cihazına göre daha yüksek belirtiyoruz dolayısı ile portlar üzerinde rotayı sadece C cihazına bırakıyoruz. Şekil 1.39 Şekil 1.39 Configuration -> Spanning Tree -> CIST Ports adımlarını izleyerek Spanning-Tree protokolunun hangi portlar için geçerli olacağını seçiyoruz. Şekil 1.40

27 Şekil d RSTP İzlenmesi STP için yapılan ayarlamaları detaylı olara görebilmemiz için; Monitor -> Spanning Tree -> Bridge Status adımlarını izledikten sonra Şekil 1.41'deki gibi izleme yapabiliriz. Şekil 1.41 Buradan STP protokolü içerisinde hangi Switch in Root Switch hangi portun Root Port,Designeted Port ve Alternate Port olduğunu gözlemeyebiliriz. Herhangi bir yapı değişikliği durumunda portların nasıl değiştiğini de buradan gözlemleyebiliriz. CIST seçeneği üzerinde STP ye bağlı portların durumunu gözlemleyebiliriz. Şekil 1.42

28 Şekil Loop Protection WebSmart serisi cihazlara özgü bu özellik sayesinde bu cihaz üzerinde loop oluşması durumunda portların nasıl davranacağını belirlemek için kullanılır. Şekil 1.42 Shutdown Port :Loop oluşması durumunda portu kapatır. Shutdown Port and Log :Loop oluşan portu kapatır ve sunucuya mesaj olarak gönderir. Log Only :Sadece sunucuya mesaj olarak loop oluştuğu bilgisini gönderir. Şekil 1.43

29 Bölüm 2.Access Point Yapılandırması 2.1 IP Yapılandırması ve (Hybrid AP) Şekil 2.1 Configuration ->MGNT Mode kısmından bağlı bulunduğumuz cihaza AP Controller seçenegini aktif hale getiriyoruz. Böylece ağa bağlanan diğer NWA 3000 serisi cihazları yönetebilir duruma gelebilecek. Ip adresinden cihaz arayüzüne girerek Managed AP seçeneğini işaretliyoruz. Bu cihaza kendi IP adresinden veya başka bir Ip adresinden ulaşım olmayacak sadece yönetilebilen AP üzerinden ne yapması gerektiğini ayarlayabileceğiz. Şekil 2.2 Şekil 2.2 Daha sonrasında Configurations -> LAN Setting adımlarını izleyerek bu cihaza erişim için IP adresini belirtiyoruz, Şekil 2.3 Varsayılan ağ geçidi olarak L3 switch'i belirledik. Management VLAN ID seçeneği 1 seçildikten sonra Apply diyoruz.

30 Şekil VLAN SSID Oluşturma B Cihazı üzerinde tanımlamış olduğum VLAN'ları Access Point üzerinden kılavuzlanmamış bir şekilde yayın yapmak istediğimden Configurations -> AP Profile -> SSID -> Add adımlarını izliyoruz; VLAN'lar ait SSID leri belirliyoruz. Şekil 2.4 Şekil 2.4 Radio yayınına bağlanacaklar için şifre tanımlaması yapılabilmesi için Create new Object -> Security Profile adımlarını izliyoruz Şekil 2.5

31 2.2.a Şifre Oluşturma Şekil 2.5 Eğer ortamda bir kullanıcı doğrulama / yetki sorgulama sunucusu varsa(802.1x AAA) buradaya bağlanılabilir. Bu topoloji içerisinde yetkilendirme sunucusu olmadığı için SSID'ye ayrı bir şifre koyabiliriz. Bunun için ön tanımlamalı bir Şifreleme (PSK) belirtiyoruz. Şekil 2.6 Şekil 2.6 Personel SSID ve Konuk SSID oluşturuyoruz ve bunları VLAN ID kısmından VLAN 20 ve VLAN 30 ile ilişkilendiriyoruz Şekil 2.7-8

32 Şekil 2.7 Şekil 2.8 Tanımlamış olduğumuz bütün SSID'ler sistem üzerinde Şekil 2.9'da görülmektedir. Şekil 2.9

33 2.3 Radyo Profili Tanımlama Tanımlamış olduğum SSID'leri yayın yapabilmesi için bir Radyo Profili oluşturmalıyız. Bunun için Configurations ->Object -> AP Profile -> Radio kısmında Add diyerek yeni bir profil oluşturuyoruz. Şekil2.10 Şekil 2.10 Oluşturmuş olduğumuz SSID leri tanımlamış olduğumuz Radyo Profili üzerinden yayınlayabiliriz. Şekil AP Controller Yapılandırması Şekil 2.11 Managed Mode aldığım cihazları topolojinin herhangi bir yerine bağladığımda yönetilebilir AP'i bulacaklardır. Şekilde görüldüğü gibi bu topolojiye dahil edilen bütün AP'ler Şekil 2.12'da olduğu gibi görülmektedir.

34 Şekil 2.12 Cihaz üzerine gelip Edit seçeneğini seçtiğimizde Bu AP'lerin hangi Radyo yayınını yapacaklarını seçebiliriz. Şekil 2.13 Şekil 2.13 Monitoring ->Wireless -> AP Information adımlarını izleyerek bağlı AP leri IP adresi ve MAC Adresleri ile görüntüleyebilirsiniz. Şekil 2.14

35 Şekil 2.14 Monitoring ->Wireless -> Station Info adımlarını izleyerek Access Point'lere bağlanan Client'ları görüntüleyebiliriz. Şekil 2.15 Şekil 2.15 Monitoring -> LAN Status adımlarını izleyerek Controller AP hakkında detaylı bilgilere erişebiliriz. Şekil 2.16

36 Şekil 2.16 Yukarıdaki konfigurasyonları yaptıktan sonra SSID yayınları ve bağlantı kurulduğunda IP tanımlamaları Şekil deki gibidir. Şekil 2.17 Şekil 2.18

37 Bölüm 3 Firewall Yapılandırması 3.1 Bridge Mod Yapılandırması İnternet Trafiğinin USG üzerinde sonlandırmak ve Erişim denetimini Firewall üzerinde yapabilmek için İnternet erişim için kullandığımız modem'i Bridge mod'a almalıyız böylece İnternet trafiği USG üzerinden kontrol edebileceğiz. Ağ ->Geniş Alan Ağı ->İnternet Erişim Ayarları adımlarını izleyerek Şekil 3.1 deki ayarları yapıyoruz. Şekil 3.1 Topolojiye dahil edilen İstemcilere(Client-PC) IP adreslerini B Cihazı vereceği için Modemin DHCP Server özelliğini kapatıyoruz. Şekil 3.2 Şekil 3.2

38 3.2 PPP Yapılandırması USG Serisi cihaza bağlandığımızda karşımıza gelen ekran Şekil 3.4'deki gibidir. İnternet sözleşmesini USG üzerinde sonlandırmak için; Şekil 3.4 Configuration -> Network -> Interface -> PPP adımlarını izledikten sonra karşımıza Şekil 3.5'da çıkmaktadır. Şekil 3.5 Topolojimde 2. Portu WAN bacagı olacak şekilde tasarladık ve modem üzerinden internet erişim vermek istediğim için ge2_ppp seçeneği üzerine gelerek Edit seçeneğini seçiyoruz. Ardından Create new Object dedikten sonra ISP Account seçeneğini seçiyoruz. Şekil 3.6

39 Şekil 3.6 İnternet hizmet sağlayıcı ile yaptığımız sözleşmeyi burada bulunan alanda dolduruyoruz. Şekil 3.7 Şekil 3.7 ISP Account oluşturduktan sonra, diğer alanları da Şekil 3.8 de olduğu gibi dolduruyoruz.

40 Şekil 3.8

41 Yukarıdaki adamları izledikten sonra İnternet hizmeti USG üzerinde sonlanacak ve İnternet trafiğini USG üzerinden yönetebilir duruma geldik. Şekil Port Yapılandırması Şekil 3.8 LAN ve WAN olmak üzere iki adet arayüzümüz var bu kapsamda USG'nin arkasında yer alan Internal yapımızı ve İnternet bağlantımızı bağlı bulundukları portlara tanımlamız gerekli bunun için Configuration ->Network -> Interface -> Ethernet adımlarını izliyoruz. Şekil 3.9 da erişiyoruz. Şekil 3.9 Burada ge1 bizim Internal(İç ağ) yapımız ge2 ise External(Dış ağ); Internal için yapmamız gereken konfigurasyon Şekil..da oldugu gibidir. (ge1 üzerine Edit) External için yapmamız gereken konfigurasyon Şekil..da oldugu gibidir. (ge2 üzerine Edit)

42 Şekil 3.10 Şekil VLAN Yapılandırması Topolojimizde oluşturduğumuz VLAN'ları Firewall üzerinde de tanımlıyoruz. Böylece herbir VLAN İnternet'e erişmek istediğinde herhangi bir yönlendirmeye ihtiyaç kalmadan internete'e erişebilecek ve Herbir VLAN için ayrı işlemler (Firewall kuralı, App Patrol,Content Filter, zamanlama) uyulabilmek için gerekli alt yapıyı kurmuş oluruz. Configurations ->Network ->Interface->VLAN adımlarını izledikte sonra Şekil 3.12 gelecektir.

43 Şekil 3.12 Buradan Add seçenegi ile Şekil 3.13'de olduğu gibi herbir VLAN için ayrı ayrı tanımlama yapacağız. Şekil 3.13 Şekil 3.14

44 Şekil 3.15 Yukarıdaki tanımlamaları yaptıktan sonra VLAN tablomuz Şekil 3.16'daki gibi olacaktır. 3.5 Adres Yapılandırması Şekil 3.16 Topolojimizde bulunan cihazlara ve kullanıcılara dışarıdan yönetim için ulaşabilmek için oluşturduğumuz VLAN'ları(Subnetleri) adres grubu olarak USG üzerinde de tanımlamalıyız. Configuration -> Object ->Address adımlarını izleyerek Şekil 3.17 ye erişiyoruz.

45 Şekil 3.17 Herbir VLAN (Subnet) için ayrı ayrı tanımlamaları Şekil deki gibi oluşturuyoruz. Şekil 3.18 Şekil 3.19

46 Şekil 3.20 ge1 bizim Internal IP adresimizi barındırıyor yani ( grubu) burada onuda LAN_SUBNET üzerine gelip Edit seçeneği ile Şekil 3.21 deki gibi eşleştiriyoruz. Şekil 3.21 Yönetim için Ev adında uzaktan bağlanıp cihazlara yönetebileceğim IP adresimi de Şekil 3.22'deki gibi tanımlıyorum. Şekil 3.22

47 Yukarıdaki tanımlamaları yaptıktan sonra yapımız Şekil 23 deki gibi olacaktır. Şekil 3.23 Oluşturmuş olduğumuz bu IP gruplarına erişim sağlaya bilmek için bunları grup haline getiriyoruz. ***Firewall'u etkin hale getirdiğimizde sadece Ev olarak tanımlamış olduğumuz IP adresi Cihazlara erişebilecek bunun dışında herhangi bir adres cihazlara ve sisteme erişim sağlayamayacak. Configuration -> Object -> Address -> Address Group adımlarını izledikten karşımıza Şekil 3.24 çıkacaktır. Şekil 3.24 Daha sonrasında Add seçegeni ile yeni bir grup oluşturuyoruz. Bu gruba tanımlamış olduğumuz VLAN'ları dâhil ediyoruz. Şekil 3.25

48 Şekil 3.25 Yukarıdaki adımları izledikten sonra yapımız Şekil 3.26 daki gibi olacaktır. Şekil 3.26 IP adreslerimizi Ethernet portlarına atadıktan sonra yönetim kolaylığı için bu arayüzleri Zone'lere atamalıyız. Configuration -> Network -> Zone adımlarını izleyerek Şekil 3.27 ye erişiyoruz. Şekil 3.27

49 Buradan User Configuration kısmında LAN yapımız içerisinde yer alan VLAN'ları LAN adını verdiğimiz Zone içerisine tanımlıyoruz. Internal Zone Şekil 3.28 Şekil 3.28 Dış bacağı Şekil 3.29 daki gibi External Zone olarak yapılandırıyoruz. Şekil 3.29 Bu yapılandırmalardan sonra Zone yapımız Şekil 3.30 daki gibi olacaktır. Şekil 3.30

50 3.6 Firewall Yapılandırması Configuration -> Firewall -> Enable Firewall adımlarını izleyerek Şekil 3.31 erişiriz. Şekil 3.31 Tanımlamış olduğumuz IP adresi(ev) haricinde dışarıdan gelecek bütün IP isteklerini engellemek için Firewall'u etkin hale getiriyoruz. Şekil Port Yönlendirme Şekil 3.32 Dışarıdan gelen kullanıcının (Ev) Cihazlara erişmesini istiyoruz ve port yönlendirmesi yapıyoruz. Şekil 3.33 de olduğu gibi herbir cihaz için ayrı ayrı port yönlendirmesi yapıyoruz. Configuration -> Network -> NAT adımlarını izleyerek Şekil 3.33 e erişebiliriz. Daha sonrasında herbir cihaz (switch ve Access point port belirleriz) bu yapılandırmadan sonra ; Dış IP Adresi: ise ile Firewall a :8082 ile XGS4728F cihazına erişebilir olacağız

51 Şekil 3.33 Şekil 3.34 Şekil 3.35

52 Şekil 3.36 Şekil 3.37 Şekil 3.38

53 Yukarıdaki yapılandırmaları yaptıktan sonra NAT/PAT yapımız Şekil 3.40 daki gibi olacaktır. 3.8 Yönlendirme Şekil 3.39 Cihazlar üzerinde oluşturmuş olduğumuz VLAN lara ait yönlendirme tablolarını Maintenance -> Packet Flow Explore adımlarını izleyerek Şekil 3.41 deki gibi görüntüleyebiliriz. Şekil 3.40 Switch ve Access pointler için yapmış olduğumuz PAT kurallarına ait yönlendirmeleri Şekil 3.42 de görebilirsiniz.

54 Şekil 3.41 Şekil 3.42

55 ZyXEL Eğitim Merkezi Kaptanpaşa Mahallesi Piyale Paşa Bulvarı Ortadoğu Plaza No: 73 Kat: 6 Şişli / İSTANBUL Telefon