Başlık:
ACL Tabanlı Basitleştirilmiş Trafik Denetim Yapılandırması Kullanılarak VLAN'lar Arası İletişim Kontrolü
Özet & Bilgi:
1. Huawei Türkiye Kurumsal İş Grubu X müşterisi, 20XX yılında Huawei'den OceanStor 9000 V5 ölçeklenebilir NAS depolama çözümünü satın aldı.
2. İhale hazırlık süreci sırasında müşteri, önerilen depolama cihazının en az yüz sanal IP'nin konfigürasyonunu desteklemesini talep etti ve ardından taslak şartname belgesini buna göre değiştirdi.
3. İhale hazırlık süreci sırasında müşteri, depolama sistemi dosya hizmetlerinin sekiz 40GE bağlantısı kullanılarak sağlanmasını talep etti ve ardından taslak şartname belgesini buna göre değiştirdi.
Zorluklar:
Huawei ürün satış ve çözüm ekibi tarafından OcenStor 9000 V5 olarak seçilen depolama sistemi, iş ortağı şirket tarafından teklif edildikten ve satın alma siparişi verildikten sonra, müşteri, projenin nihai şartnamesinde açıkça tanımlanan yukarıdaki gereksinimlere ek olarak aşağıdaki ek bilgileri sağladı.
1. Depolama sistemi üzerinde yapılandırılacak yüz sanal IP'nin farklı ağ segmentlerine ait olması gerekir.
2. Müşterinin güvenlik duvarı, depolama sistemi ile yüz farklı VLAN arasındaki trafiği iletecek kadar güçlü değil.
3. Farklı ağ kesimleri arasında yönlendirme, doğrudan depolama sistemi yazılımı veya ek yatay ağ bileşenleri tarafından gerçekleştirilmelidir.
Şekil 1. Temsili ağ topolojisi
Risk Analizi:
1. Yirmi nodlu OceanStor 9000 V5 NAS sistemi için, müşterinin ek gereksinimleri, şartnamedeki diğer önemli gereksinimlerle çelişmeden karşılanamamaktadır.
a) Yüz farklı ağ kesiminde konuşlandırılmış sunucuya dosya sistemi hizmeti sağlamak için mevcut depolama sistemini ağ bölgelerine (zone) ayırarak ilgili sayıda farklı ağ segmenti sayısına erişmek imkansızdır.
b) Müşteri tarafından ağ segmentlerinin sayısı azaltılsa bile, her bir ağ bölgesinin toplam performansı, bölgedeki nod sayısı tarafından belirlenecektir. Bu da şartnamedeki herbir ağ segmentine ait toplam performans isterini karşılayamamaktadır.
c) Depolama sistemi üzerindeki dosya sistemi hizmet ağı portları, müşterinin tek ağ için talep ettiği toplam performans gereksinimlerine uygun şekilde birden fazla VLAN etiketiyle iletişim sağlamak için yapılandırılırsa, bu sayıdaki VLAN için yapılandırılamamaktadır.
2. Yüz farklı ağ segmentindeki sunucudan depolama sistemine müşterinin mevcut güvenlik duvarını atlayarak ulaşmak ek bir üçüncü katman cihazı gerektirir.
Strateji ve Alınan Eylemler:
Proje kapsamında müşteriye iki adet dosya sistemi erişim ağı anahtarı temin edilmiştir. Bu anahtarlar, gelişmiş trafik filtreleme özellikleri ile IP yönlendirme özelliğine sahiptir. Bu anahtarların, depolama sistemi ağ kesimleri ile diğer tüm sunucu ağı kesimleri arasında trafiği iletmek için kullanılması planlandı.
1. Bu iki anahtarı yığın (stack) olarak yapılandırıldı ve üçüncü katman iletişimi için etkinleştirildi.
2. Ana ağ segmentleri arasında ağ iletişimi engellenerek, müşterinin güvenlik duvarı güvenli bir şekilde atlandı.
3. Müşterinin Huawei NAS depolama dışındaki diğer hizmetlerle mevcut iletişimi için varsayılan ağ geçidi yapılandırmasına zarar vermeden tüm sunucularda belirli yönlendirmeler (static route) tanımlandı.
4. DNS sunucu iletişimi yüksek bant genişliği gerektirmediğinden, müşterinin güvenlik duvarının DNS iletişimi için trafiği iletmeye devam etmesi planlandı.
Şekil 2. Kesikli siyah oklar: Güvenlik duvarı üzerinden uygulama sunucusu, DNS sunucusu ve depolama sistemi arasındaki iletişim. Kesikli mavi oklar: Uygulama sunucusu ile depolama sistemi arasında doğrudan iletişim.
Şekil 3. Dosya sistemi ağı anahtarlarındaki temsili yapılandırmalar.
Sonuç:
Müşterinin ürün çözümündeki ekstra gereksinimlerinin tümü, ek bir proje maliyeti ve müşteri memnuniyetsizliği olmadan karşılandı.
Çıkarılan Dersler:
Müşterilerin bu tür ekstra gereksinimleri, müşteri ile daha fazla müzakere edilerek ihale hazırlık sürecinde proje ekibi tarafından dikkate alınmalı ve gelecekteki satış fırsatlarında ihale öncesi olası tüm riskler ortadan kaldırılmalıdır.
