Forum

Layer 3 Networkte M...
 
Bildirimler
Hepsini Temizle

Layer 3 Networkte Mac Adreslerin Taşınması

8 Yazılar
3 Üyeler
0 Reactions
796 Görüntüleme
(@nihatnar)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

Merhaba,

Aklıma takılan bir soru var ve herhangi bir fikir gelmiyor. Değerli fikirlerinizi paylaşırsanız sevinirim. 

Merkez şube ile uç şubeler arasında noktadan noktaya metroethernet devresi var. Tüm internet çıkışları merkezden yapılıyor. Merkezdeki kullanıcılar mac adreslerine göre firewall'da yönetiliyor. Şubeler ile merkez arasındaki network layer3 seviyesinde kurulduğundan şubelerdeki kullanıcıların mac adreslerini merkezde göremiyoruz dolayısıyla buna göre herhangi bir policy yazamıyoruz. Merkezde fortinet kullanılıyor. Farklı networklerdeki şubelerin internet kısıtlamaları merkezden nasıl yapılabilir?

 
Gönderildi : 12/03/2015 14:36

(@vasviuysal)
Gönderiler: 7890
Üye
 

mac adreslerini alamıyor olmanız normal, router veya vlan arkasına bu bilgi taşınmaz çünkü

fortigate tarafındaki kurallarınızı mac bazlı yerine kullanıcı bazlı olarak değiştirmenizi tavsiye ederim 

hatta ortamda active directory varsa bununla entegre edebilirsiniz.

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Authentication/cb_auth_id.html

 

 

 
Gönderildi : 12/03/2015 14:40

(@nihatnar)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

Cevap için teşekkürler Vasvi Bey. Peki şubelerin olmadığını varsayarsak Firewall ile aynı LAN  altındaki clientlar için kural oluştururken kullanıcı bazlı mı , mac bazlı kural mı oluşturmalı. Tavsiyeniz nedir?

Ayrıca şubedeki router arkasına layer2 bir cihaz koyarak, aynı layer2 cihazdan merkezdeki firewall önüne koyup merkez şube arasında tünel oluşturarak mac'leri almak ve mac'e göre kural oluşturnmak ne kadar mantıklı? Tünel içinde tünel mantıklı değil ama layer3 yapının değişmemesi gerekiyor.

 
Gönderildi : 12/03/2015 18:43

(@murattunalioglu)
Gönderiler: 218
Estimable Member
 

Merhaba;

 TTVPN ve MPLS hizmeti genelde Layer3 routing ile çalışıyorsa mac adresi gelmez layer 3 olduğu için de uzaktaki kullanıcı merkezdeki bir cihazı ağ geçidi olarak yazamaz 

 Ama yanlış anlamadım ise siz noktadan noktaya dediniz farklı kurulum olmuş olabilir ama genelde noktadan noktaya olan bölgelerde ağ geçidi merkezdeki firewall yada switch olmakta ağ geçidi firewall olan yerlerde mac ile yönetme rahatlıkla yapılabiliyor.

Bunu yapamıyorsanız hocamın da söylediği gibi AD ile yapabilirsiniz. 

 
Gönderildi : 12/03/2015 20:09

(@vasviuysal)
Gönderiler: 7890
Üye
 

ben kişisel tercih olarak kullanıcıları baz almaktan yanayım

yer/bolum/bilgisayar değiştiren kullanıcıları takip etmek zorunda kalmıyorum boylelikle

internete girmek istediginde kullanıcı parola soran bir ekran geliyor buradan kullanıcı kendi bilgilerini girerek herhangi bir bir bilgisayardan benim tanımladığım haklar ile internete erişebiliyor.

 

şubelerinizi aynı subnette çalıştırma şansınız var ise (route etmeden ) yine sizin bahsettiğiniz sekilde mac adres bazlı kurallar olusturabilirsiniz 

fakat bu durumda broadcastlar tum subelere ulasacak subelerin broadcastlari da diger subeler ve merkeze ulasacaktır.

 

 

 

 

 
Gönderildi : 12/03/2015 20:54

(@nihatnar)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

Aynen Vasvi Bey. Broadcast trafiğinin önüne geçmek için farklı networklerde routing yapılmış. kişisel tercihiniz olarak bahsettiğiniz işlemi fortigate üzerinde mi yapıyorsunuz yoksa ayrıca aktif dizin yapısı mı oluşturuyorsunuz?

 
Gönderildi : 13/03/2015 01:19

(@murattunalioglu)
Gönderiler: 218
Estimable Member
 

 Merhaba mantıklı olanda o zaten ama  log alacaksanız 5651 yasası gereğince paketin içinde mac adresi olmayacak bu konuda ne düşünüyorsunuz.DHCP logları ayrıca mı imzalacaktınız

 
Gönderildi : 13/03/2015 09:54

(@vasviuysal)
Gönderiler: 7890
Üye
 

Aynen Vasvi Bey. Broadcast trafiğinin önüne geçmek için farklı networklerde routing yapılmış. kişisel tercihiniz olarak bahsettiğiniz işlemi fortigate üzerinde mi yapıyorsunuz yoksa ayrıca aktif dizin yapısı mı oluşturuyorsunuz?

 

kullanıcı yetkilendirme işlemini fortigate üzerinde yapıyoruz ama kullanıcıları AD uzerinden yetkilendiriyoruz genelde 

Active directory kimlik veritabanı olarak ideal bir yapı bence , üzerinden bir cok cihaz/yazılım vs authenticate olabiliyor

firewall tarafında bir defa kuralları oluşturup geri kalan işlemleri AD tarafında kullanıcı ac kapa ilgili gruba dahil et şeklinde yapabiliyorsunuz.

 

iyi çalışmalar

 
Gönderildi : 13/03/2015 11:45

Paylaş: