Etiket Arşivi layer3

SMC switch sistemleri ile yüksek güvenlikli ve Stabil ağ yapıları oluşturmak.

Merhabalar,

Sanıldığının aksine bir UTM aldığınızda yapınızda tam güvenlik sağlamazsınız, bilinenin aksine asıl sorun internet tarafi değil içeride switch yapısı üzerinde bulunan trafiktir. LAN üzerinde zararlı bir yazılım yüksek bant genişlikleri ve daha serbest olan dosya paylaşımı nedeni ile daha hızlı yayılabilir ve ağın komplesini bir anda ZOMBI ağa çevirebilir.

Privilege Level Configuration

Bu sistem içinde, SMC switch sistemleri içerisinde bulun servislerin privilage levelleri 1 ila 15 arasında belirlenir. Herhangi bir kullanıcı açılırken buradaki numaralara göre bir kademe atanır ve kullanıcı switch cihazına login olduğunda kendisine verilmiş olan kademeye denk gelen ya da daha düşük leveldeki sistemleri yönetebilir ya da sadece durumu hakkında bilgi alabilir.

Port Configuration  

Cihazın üzerinde bulunan fiziksel portların hızlarının, kabul edilebilir frame boyutlarının ve collision olması durumunda paketlere yapılacak olan işlemlerin yapıldığı kısımdır. Gerekli olmayan portlarda MTU değerleri düşülerek gereksiz kullanıcıların ağa büyük boyutlu paketler göndermesi engellenebilir.

Port Security Limit Control Configuration

Cihaz üzerinde bulunan fiziksel portlardan kaç adet MAC adresi kabul edileceğinin belirlendiği kısımdır. Bu kısım sayesinde uplink olarak yada AP cihazlarının bağlantısı için kullanılan portlardan aynı anda kaç adet MAC adresi geleceği ayarlanabilir. Bu şekilde sistemde gereksiz kullanıcıların girmesinin yada istenilen limitin üzerine çıkılmasının önüne geçilmiş olunur.

DHCP Snooping Configuration

Sistemde bulunan DHCP sunucu dışında diğer portlardan DHCP yayını yapılması ve yapılan broadcastlere cevap verilmesinin önüne geçildiği kısımdır. Bu sistem bilinçsiz kullanıcılarla yada kötü amaçlı olarak oluşturulmuş DHCP lerin ağdaki sistemlere IP vermesini önleyerek hem olası IP çakışmalarını hem veri hırsızlığını önleyecek hemde kullanıcıların başka GW cihazlarına gitmesinin önüne geçecektir.

IP Source Guard Configuration

Sistem fiziksel portlara takılacak olan cihazların sahip olması gereken IP adresi ve MAC adresinin tanımlandığı kısımdır, istenilmesi durumunda portta gelecek IP ve MAC belirtildiği gibi 2 adete kadar Dynamic Clientada izin verilebilir. Bu şekilde kullanıcıların başka portlara yada başka VLAN lara geçmesi önlenir ayrıca izinsiz kullanıcıların sistemden kablolu yada kablosuz olarak bağlanmasının önüne geçilir. 802.1x sistemine gerek kalmadan fiziksel güvenlik alınmasını sağlar.

ARP Inspection Configuration

Sisteme dahil olabilecek cihazların ARP kayıtlarını sabitlemeye ve VLAN ve PORT lara atamaya yaramaktadır. Basit anlamda men in the middle, ARP possine gibi sistemleri önleyecektir. Bu ssitem sayesinde sisteminizde fiziksel olarak bağlı olmaya izni olan bir cihaz dahi başka kullanıcıların bilgilerine direk olarak erişemiyecektir.

Loop Protection Configuration

Cihazın fiziksel portlarını ve sistemin genelini korumaya yöneliktir. Kullanıcıarın en sık yaptığı aynı kablonun iki ucununda aynı switche yada birbirlerine bağlı bir switch gurubuna takılması sonucu sistemin çalışmaz hale getirilmesinin önüne geçmek için tasarlanmıştır. Bu sayede bilerek ya da bilmeyerek sisteme bu şekilde zarar verebilecek tüm sorunlar başlamadan bertaraf edilir.

QoS Port Storm Control  

Network sistemleri üzerinde haberleşmeler üç ana tipte yapılır bunlar UNICAST, MULTICAST ve BROADCAST sistemleridir bunların dışında yapılan haberleme teknikleri ise UNKNOWN olarak belirlenir. Sistem temelde bu tiplerden herhangi birisine istinaden işaretlenmiş paket yada framlerin limitlenmesini sağlayarak ağ üzerinde gereksiz paket dolaşımını önler gerek kullanıcıdan kullanıcıya gerekse kullanıcıdan herkese olan tüm paketler konusunda size tam denetim sağlar.

Daha fazla ayrıntı için alttaki video dosyasını bir kontrol edin :).

SMC-TigerSwitch-8612XL3 VLAN

SMC 8612XL3 Layer3 switch kolay ve basit bir VLAN yönetim sistemine sahiptir. Cihazın içinde her bir fiziksel porta 250 adet VLAN tanımı yapılarak cihazın her bir fiber portundan uzak noktalara taşıma işlemi kolaylıkla yapılabilir. Cihazda VLAN işlemleri yapmadan önce bilinmesi gereken bazı kavramlar vardır bunlar TAG Based, UNTAG ve Native kelimelerinin karşılıklarıdır.

1. TAG based VLAN portları kendisine gelen frame lerde VLAN tagı aramaktadır ve aksi bir durum belirtilmedikçe TAG sız gelen frameleri kabul etmeyecektir. SMC 8612XL3 Layer3cihazından Layer2 yada 3 seviyesinde bir başka cihaz aktaracak sanız fiziksel porttaki VLAN tanımı TAG şeklinde olmalıdır.

2. UNTAG sistemi cihazın fiziksel porttan kendisine gelen framleri tagsız olarak kabul etmesi ama paketleri başka bir fiziksel port ya da VLAN arayüzüne taşırken TAG eklemesidir.

3. NATIVE olarak seçilmiş VLAN o fiziksel port için default VLAN dır cihazda bu VLAN UNTAG olarak seçilmiş ise yada birden fazla VLAN sahip bir fiziksel portta TAG sız gelen tüm paketler öncelikli olarak NATIVE olarak seçili olan VLAN ID si ile tanımlanmaya çalışır.

SMC TigerSwitch 8612XL3 DHCP

SMC 8612XL3 switch kendi içinde onlarca DHCP sunucu sistemi oluşturabilir ve bu DHCP sistemlerini farklı VLAN lar üzerinden hizmete sunabilir.  Eğer yapınızda Custom option lar kulamadığınız ama büyük ağlara DHCP hizmeti vermeniz gerektiği yapılar varsa tüm ihtiyaçlarınızı karşılayabilecek yapıdadır.

DHCP sunucu konusunda dikkat edilmesi gereken hususlar,

1. DHCP sunucu herhangi bir arayüze atanmaz, cihaz siz bir ethernet arayüzüne ya da vlan arayüzüne IP verdiğinizde otomatik olarak SUBNET i o IP ile eşleşen DHCP Broadcast ini yayın yapmaya başlar.

2. Exlude edilmiş olan adresler DHCP sunucularla eşleştirilmez. Cihaz DHCP broadcasti yaparken exlude edilmiş IP adres aralıklarını dağıtmaz.

3. Sistemden IP almış olan kullanıcıların IP adreslerini ” show ip dhcp binding ” komutu ile görebilirsiniz ve ” clear ip dhcp binding * ” komutu ile tabloları temizleyebilirsiniz.