Ne arayalım?

ARAMIZA KATILIN

BİZE ULAŞIN

Adres:

E-posta:

host/bin/bilisimlife.dll

iletisim@bilisimlife.net




 
Rserit
Developer
       
 1029  
 278

L2F uygulama örneği

Merhabalar.
Geçtiğimiz günlerde internet üzerinde bir grafik görmüştüm. Grafik, L2F üzerinden bir senaryoyu anlatıyor. Grafiği çok sevdim, biraz Türkçeleştirdim. Sevmemin nedeni, L2F üzerinden ufak bir uygulama göstermesi. Yalnız, ufak bir sıkıntı olduğunu belirtiliyor. Sıkıntıyı bulmamız istenmiş. Şimdi grafiğe göz atıp, L2F üzerindeki senaryoyu inceleyelim.



Yukarıdaki grafikte ne yapılmakta? Çok basit. Istemci, müşteri ağına bağlanmak istiyor. Bunun için L2F ile VPN yapılmakta. L2F kullanmalı mı, kullanmamalı mı, bunlar için ufak ayrıntılara girelim.

Öncelikle bir istemcimiz var. Istemci giriş için çabalıyor. Müşteri Telco adresinden Network Access Server (Ağ Erişim Sunucusu) (Grafikteki cihaz AS-5300 NAS) için çevirir. Bir açık devre veya özel telefon hattı üzerinden kurumsal ağa uzaktan erişim için giriş bağlanmak ister (ISDN hattı üzerinden).

TELCO NAS ilk kimlik doğrulaması yapar. Ardından TELCO NAS L2F protokolünü etkin kılar ve müşterinin kurumsal ağ için VPN tabanlı L2TP tünel oluşturur. Haliyle L2F şifreleme sağlar. Layer 2 Transport Tunnel (Layer 2 Ulaştırma Tüneli) (L2TP) şifreleme sağlar ve gizlilik için gereklidir. VPN kurulumunda hatırlayalım, IPSec kullanılırdı. Ancak burada IPSec'e gerek yok. Çünkü grafikte de görmekte olduğunuz Cisco AS5300 NAS, Layer 2 üzerinde anahtarlı bir devredir. Haliyle IPSec'e ihtiyaç duyulmuyor.

Cisco AS5300 NAS'ın tünelleme yaptığı Cisco 7206 ev gateway'de, uzaktaki kullanıcı (yani müşteri) ACS tarafından doğrulanır. ACS, VPN'e erişilen kaynakların kontrolünü sağlar ve kullanıcı haklarında ağ üzerinden kontrol edilmesine olanak tanır. Bu ağ üzerinde gereklidir.

Uzaktaki kullanıcı (müşteri) daha sonra Telco üzerinden Frame Relay geri yoluyla müşteri ağına bağlanır ve potansiyel Telco ACS üzerinde yetki edilerek müşteri ağındaki Telco hesaplarına erişebilir.

Peki neden uzaktaki istemciler L2F bağlantısı kullanılıyor?
Tabi ki en başta güvenlik. Özel devreler (telefon hattı) konusunda SSL gibi paket yönetimde VPN üzerinde daha güvenlidir. Genelleme yapmak istemem ama şunu söyleyebilirim, uzak ana iletişim sadece Telco veya Telco kaynaklarına erişimi olanlar tarafından mümkün edilir. Bu ölçüde SSL VPN daha güvenlidir. Ayrıca, özel devre DNS saldırılarına karşı savunmasız kalmıyor L2F ile.

Peki, tam tersini, neden uzaktaki kullanıcı (müşteri) L2F kullanmaz? En başta gelen şey bandwith (bant genişliği). Uzaktaki kullanıcı, eğer ki müşteri ağında iş yapmak istiyor (şekildeki gibi) ve büyük bant genişliği gerekiyorsa, 128K modem bağlantısını kesmek için gitmiyor. Şöyle bir varsayım ortaya koyalım, uzaktaki kullanıcı BRI hizmet veren varsayıyorum, 4 PRI ISDN ve PSTN'i göz önüne alındığımızda (şekilde gibi) gerçekten adil olmayacak bir anlayış olacaktır (bandwith için). Bu yüzden kullanılmayacaktır.
Bununla beraber esneklik de önemli. Kullanıcı evlerinden erişimi çevirmeli yapıyor diyelim (çevirmeli bağlantı). Dışarıya bir geziye çıktığını varsayalım. Ne olur? Bir analog üzerinden gitmek zorunda kalacak (bu çok zor ve zahmetli olur), çünkü şirket kendi ISP POP üzeriden ulaşmak istiyor. NAS'a göre (Telco ile hizmet anlaşması) muhtemelen 56K kendi bant genişliğini azaltacaktır. Ayrıca şirket uzun mesafeli ücreti de ödemek zorundadır (bu telefon bağlantısında). Bu bakımdan kullanılmaz.

Grafiğin ve konunun kısa özetini yapalım. Burada istemcinin L2F ile ağa bağlanmakta olduğunu görüyoruz, ama o da ne? Bağlanmıyor. Çünkü uygun değil. Nedeni ise grafikte çok net bir şekilde görebileceğimiz Unix sunucu ile Cisco 7206 yönlendiricinin IP adresleri aynı. Burada IP çakışması yaşanmaktadır. Haliyle L2F ile VPN bağlantısı kurulamaz, uygun değildir.

Ince detaylı anlattım, uzun gelebilir ama aslında grafiğin tek özeti IP çakışmasıydı. Böylelikle L2F uygulama örneğini de incelemiş olduk.

Kolay gelsin.

Recep ŞERIT

Developer.


 
Enes
Emekçi
       
 219  
 134

Bu ağın aynısını Packet Tracer'da yapmaya çalışacağım. Bu arada güzel bir örnek, eline sağlık.

Emekci.