Forum

Oluşturacağım Netwo...
 
Bildirimler
Hepsini Temizle

Oluşturacağım Network Hakkında Destek

4 Yazılar
2 Üyeler
0 Reactions
744 Görüntüleme
(@Sametkinik)
Gönderiler: 2
New Member
Konu başlatıcı
 

Merhaba Çözümpark ailesi,

Uzun zamandır oluşturmak istediğim bir ağ altyapısı bulunmaktadır. Bunun olabilitesi nedir, yada nereden nasıl başlanır konusunda sizden destek beklemekteyim. Kısaca aşağıda elimdeki envanteri ve yapmak istediğim altyapıyı ve işleyişi sizlerle paylaşayım;

İstemcim ortalama 150 civarındadır. Server 2012 R2 Data Center sürümüne sahibim Router gorevini Firewall yerine getirmektedir. 2 adet DC'im bulunmaktadır. Herhangi bir vlan tanımlı değildir sistemimde. Yönetilebilir Layer 2 seviyesinde HP switchlerim bulunmaktadır. 1 adet 10 gbit omurga swıtch e sahibim. DHCP server yoktur, ip atamaları elle yapılmaktadır.

Yapmak istediğim yapı ise şu şekildedir. Client Herhangi bir switche makinasını bağladığında, bu "bilgisayar" (computer authentication ile calışmasını istiyorum, mac authentication icin linux server gerekiyor diye duymuştum, microsoft serverlarda olmuyor diye biliyorum.) Radius servera gelsin burada bu makinanın yetkisinin olup olmadığı kontrol edilsin. Bu işlemden sonra bu "computer" yetkili sertifika sahibi ise AD üzerindeki grubuna gore gerekli vlan ataması makinanın baglı oldugu switchın o portuna gitsin. Gerekli Vlan ataması yapıldıktan sonra DHCP server o vlan için tanımlı olan pooldan bilgisayara uygun bir ip adresi atasın. Eğerki yetkisiz bir anahtara sahip ise makina, yine ayrı bir Vlanda kısıtlı erişime sahip olsun.

Bu yapılandırmaya nasıl başlayacağımı ne şekilde devam edeceğimi RADIUS server üzerindeki ayarlar, DHCP ile ilgili ayarlar, switchler ve Router gorevınıde ustlenen firewall üzerindeki yapılandırmalar. Makinalardaki 802.1x standartındaki yapılandırmalar hakkında, sertifikaların bilgisayarlara nasıl dağıtılması gerektiği, izlenecek yol haritası ve ipucları verebilirseniz hayata geçirmeyi planlamaktayım.

 

 
Gönderildi : 07/06/2016 13:50

(@ZaferSEN)
Gönderiler: 213
Estimable Member
 

merhaba,

switch marka ve modelleriniz nedir, firewall markanız nedir bunları bilmek gerekiyor.

authentication kısmında ise NPS de (802.1x) deniyor, Radius ile yapacaksınız, radius tarafında yapacağınız ayarları forumdan bulabilirsiniz, computer veya user authentication buna karar verin, ona göre radius ayarları olacak ve computer aut. seçerseniz sertifikaları bilgisayarlara yüklemeniz gerekecek.

switch tarafında yapacağınız ayarları da  marka ve modele göre yardımcı olabiliriz. forumda büyük ihtimalle o da vardır,

DHCP kurmanızı da tavsiye ediyorum, elle ip veriyorsanız authentication, Vlana göre ip network seçimi konuları daha sağlıklı olur.

bu arada bilgisayarın AD grubuna göre Vlan ataması olmaz, Vlanlar static (port based) ve dynamic (mac based) olarak yapılabilir.

siz bilgisayar authenticate olduğunda buna göre vlan seçimi olsun derseniz o zaman mac based olacak buna da VMPS deniyor, yine cihaz markanıza göre config adımlarına yardımcı olmaya çalışırız.

 

 
Gönderildi : 08/06/2016 12:58

(@Sametkinik)
Gönderiler: 2
New Member
Konu başlatıcı
 

Zafer Bey Merhaba,

Firewall olarak FortiGate 300c kullanıyorum. Switchlerim ise HP'nin A5120-24SI (JE034-61002) switchlerinden. Dediğim gibi Microsoft tarafında Mac based olarak microsoft tarafında olmuyor dıye duymustum. Linux tarafında freeradius kısmında yapılabiliyormuş bu konu hakkında yeterli bilgiye sahip değilim. Araştırma yaptım ama galiba bilgi eksikliğinden kaynaklı, gerekli konulara erişemedim. Siz nasıl bir setup önerebilirsiniz?

 
Gönderildi : 08/06/2016 17:21

(@ZaferSEN)
Gönderiler: 213
Estimable Member
 

öncelikle neden mac based yapmayı istiyorsunuz? kullanıcılarınız kablolu networkde dolaşıyor mu,

toplam ip sayınız 150 civarında yani az,

vlan yapma nedeniniz broadcast ise ip sayınız çok fazla değil, o zaman vlan yapma nedeniniz güvenlikse, mac based ne kadar güvenli önce bunu bir düşünmek lazım, çünkü bunun da port-based gibi avantajları ve dezavantajları var.

(kullanıcılar sabitse, port-based yaparsanız, 802.1xi uyguladığınızda computer veya user authentication istersiniz) zaten authenticate olmayan kullanıcı networkde hiç bağlanamayacak bu durum daha yaygın bir kullanım.

 

kullanıcılarınız kablolu ağda mobil değilse buna gerek yok diye düşünüyorum.

uygulamasını yapmadım, şuana kadar kablolu ağda mobil olan kullanıcılar için mac-based ihtiyacı olan bir yer görmedim, internette de bununla ilgili pek bilgi olmadığından yaygın olmadığını düşünüyorum, ha yok mudur mutlaka vardır.

uygulamadığım için yanlış yönlendirmek istemem bu nedenle iyi değerlendirmek lazım. kullanıcılarınız mobil değilse port-based yapıp geçersiniz, Vlan'lar arasında da ACL yaparsınız, 802.1x uygularsınız.

firmanızdaki kullanıcı profiliniz nasıl, sadece şirket bilgisayarlarını networke dahil ediyorsanız durum farklı, kişisel bilgisayarları da kablolu ağa alıyorsanız o zaman durum farklı, bu iki durumda kullanıcının eriştiği kaynakları izole etmek istediğiniz networkleri de düşünmek lazım.

HP bununla ilgili aşağıdaki gibi bir doküman paylaşmış, birde başka bir forumda bununla ilgili paylaşılmış bilgiler var,

http://h10032.www1.hp.com/ctg/Manual/c02628207

https://integratingit.wordpress.com/2012/07/05/configuring-dynamic-vlan-assignment-on-procurve-switches/

 

http://www.edugeek.net/forums/wireless-networks/10463-mac-based-vlan-allocation-procurve-switches-11x.html

 

 
Gönderildi : 08/06/2016 17:51

Paylaş: