Tüm Üniversitede

Tek Kablosuz Ağ

İlker ULAŞ
Pamukkale Üniversitesi
Bilgi İşlem Daire Başkanlığı

V. ULAKNET Çalıştay ve Eğitimi

Karadeniz Teknik Üniversitesi/Trabzon
15-18 Mayıs 2011
 eduroam NEDİR ?
• EDUcation ROAMing
• TERENA (Trans-European Research and Education
Networking Association) kayıtlı markası
• ULAKBİM, Türkiye ulusal eduroam servisinden
sorumlu servis sağlayıcı
• Amacı eduroam üyesi kurumların kullanıcılarının
diğer eğitim kurumlarında da sorunsuzca ağ
kullanımını sağlamak
• Ticari değil
• Sloganı “Open your laptop and be online.”
 PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
eduroam ÖNCESİ
• 2009 yılına kadar sadece öğrenci kantinlerinde 6 adet
Access Point’ten oluşan kablosuz ağ
• Ağa bağlanmak için kimlik denetimi yok
• Bağlantıların loglanması için LDAP üzerinden
yetkilendirme yapan proxy sunucusu kullanıldı
• Kullanıcıların browser’larında proxy ayarı yapma
zorunluluğu
• Proxy ayarlarının nasıl yapılacağı ile ilgili kantinlere
bilgilendirme metinleri asıldı, web üzerinden ve mail ile
bilgilendirmeler yapıldı.
 PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Öğrencilerin internete bağlanabilecekleri serbest
alanlar yok. Bilgisayar laboratuvarlarında sürekli
ders var.
• Notebook, netbook, internet bağlantılı cep
telefonlarının fiyatları düştükçe sayıları arttı.
• Personel iş yerinde kullandıkları sabit bilgisayarın
yanında evindeki taşınabilir cihazını okula
getirmeye başladı, odada yeterli sayıda data prizi
mevcut değil. Sürekli yeni kablo çekilmesi
talepleri gelmeye başladı.
• Neredeyse her öğrencide mobil bir cihaz var.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Yönetim kolaylığı sebebi ile LightWeight
teknolojisi tercih edildi
• 2009 yılında 96 adet indoor, 4 adet outdoor, 1
adet kontrol cihazı alınarak ana kampüse
kuruldu.
• Kurulumun tamamlanmasıyla birlikte kablosuz
ağ eduroam’a dahil edildi.
• eduroam dışında başka bir yayın yok,
olmayacak!..
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
• Kapsama alanı 2010 yılında 1 adet kontrol
cihazı ve 50 adet indoor AP alınarak
genişletildi.
• 2011 yılında genişletilmeye devam ediliyor.
• Ana kampüsün tamamında, Denizli, Çivril,
Buldan, Bekilli, Honaz, Çal Meslek Yüksek
Okullarımızda olmak üzere Üniversiteye ait her
yerleşkede eduroam aktif durumda.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
AP Sayıları
Lokasyon AP Sayısı
Fen-Edebiyat Fakültesi 19
İktisadi İdari Bilimler Fakültesi 15
Mühendislik-Teknik Eğitim Fakültesi 7
Eğitim Fakültesi 12
İnşaat Mühendisliği 1
Mimarlık ve Tasarım Fakültesi 14
Güzel Sanatlar Fakültesi 4
Rektörlük 22
Yabancı Diller YüksekOkulu 5
Tıp Fakültesi 9
Turizm İşletmeciliği ve Otelcilik Yüksek Okulu 1
Spor Bilimleri ve Teknolojisi Yüksek Okulu 3
Denizli Meslek Yüksekokulu 7
Bekilli Meslek Yüksek Okulu 3
Buldan Meslek Yüksek Okulu 5
Çal Meslek Yüksek Okulu 2
Çivril Meslek Yüksek Okulu 6
Honaz Meslek Yüksek Okulu 6
Sosyal Tesisler 1
Göl Bölgesi (Outdoor) 1
Mühendislik Fakültesi Bölgesi (Outdoor) 1
İktisadi ve İdari Bilimler Fakültesi Bölgesi (Outdoor) 1
Yurtlar Bölgesi (Outdoor) 1
TOPLAM 146
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
LWAPP Sağladıkları
– DHCP sunucuya eklediğimiz option ile AP’ler
controllerı buluyor.
– AP’lerde ayar yapılmıyor, tüm ayarlar (güvenlik, kimlik
denetimi, software versiyonu) kontrol cihazından
otomatik olarak sağlanıyor.
– AP’in ağa bağlandığı yer eduroam yayınını yapmaya
başlıyor.
– Switch’lerde VLAN ayarı yapılmıyor.
– AP’ler eduroam VLAN’ını mevcut VLAN içerisinden
taşıyor.
PAMUKKALE ÜNİVERSİTESİ KABLOSUZ AĞI
 NEDEN eduroam ?
• Araştırmacılar mobil cihazlar kullanmaya
başladılar.
• Gittikleri yerlerde internete bağlanmak için
ayar yapmakla uğraşmak istemiyorlar.
• Kimlik bilgilerinin korunduğu, güvenli bir
internet hizmeti istiyorlar.
• Bilgi işlem personeli için misafire internet
bağlantısı sağlamak zahmetli. (teknik destek,
5651 sayılı yasa)
 NEDEN eduroam ?
1) eduroam kullanıcılara, kendi kurumlarındaki
kullanıcı bilgileri ile eduroam ağı olan başka
bir kuruma gittiklerinde, dışarıdan gelen
misafir öğretim elemanı ve öğrencilere de
kurumlarındaki kullanıcı bilgileri ile güvenli ve
zahmetsiz olarak internete bağlanabilmesine
olanak sağlamaktadır.
Bu nasıl sağlanıyor ?
eduroam BİR 802.1x UYGULAMASIDIR
802.1x kimlik doğrulaması, istemci ile erişim
noktasına bağlı bir RADIUS sunucusu arasında
kullanılan kimlik doğrulamasıdır.

802.1x Kimlik Kanıtlamada kullanılan 4 temel yapı

vardır;
• İstemci (Suppliciant)
• Kimlik kanıtlayıcı (Ağ erişim cihazları)
• Kimlik Kanıtlama Sunucusu (Radius)
• Kullanıcı bilgilerinin tutulduğu sistem (LDAP)
eduroam YEREL KİMLİK DOĞRULAMA

abc@pau.edu.tr Yerel RADIUS

Parola Server
Erişim İsteği
Parola
Kontrolü
Erişim Kararı Doğru/Yanlış
Network Local LDAP
Access Server repository
(with Radius
client)

Bağlantı ve kimlik bilgisi isteği

LDAP sunucudan kullanıcının kimlik doğrulaması
Kimlik doğrulaması doğruysa yetkilendir, değilse reddet
Erişim isteğinin kabul edilip edilmediğini dön
 eduroam UZAK KİMLİK DOĞRULAMA
Yerel RADIUS
Server

Erişim İsteği
Erişim İsteği
+Kullanıcı Bilgisi
+Kullanıcı Bilgisi

Erişim Kararı
Erişim Kararı
Supplicant

NAS
Erişim İsteği
+ Kullanıcı Bilgisi

Erişim Kararı

Erişim İsteği Parola Bilgisini

Karşılaştır
+Kullanıcı Bilgisi
Doğru/
Remote
Erişim Kararı Yanlış LDAP Repository
National RADIUS Remote
Proxy server Radius Server

Kullanıcı Bilgisi => Username@realm + password

username: abc@pau.edu.tr, password pass123
eduroam UZAK KİMLİK DOĞRULAMA
 RADIUS ve LDAP YAPIMIZ
• Vmware sanal makine olarak çalışan Ubuntu işletim sistemi,
Freeradius
• Vmware sanal makine olarak çalışan Ubuntu üzerine OpenLDAP
kurduk problem çıkardı.
• Çok fazla sayıda gelen istek sunucuya erişim sürelerini 2500-3000
ms.lere çıkardı. Sunucu reboot edilmeden de düzelmedi. 3-4 günde
bir sunucuyu reboot etmek zorunda kaldık.
• Sunucuyu fiziksel hale getirmek zorunda kaldık.
Sun V210 (2x1,1 Ghz sparc işlemci, 4 GB ram, 72 GB SCSI Hdd)
• 50.000’in üzerinde kullanıcımız var. Kimlik denetimi isteyen herşey;
yazılımlarımız, mail, squid vs. LDAP üzerinden kimlik denetimi
yapıyor.
• Tüm eduroam trafiğini Squid ile transparent olarak proxy üzerinden
çıkarıyoruz. Bağlantı log’larımız daha anlamlı..
RADIUS ve LDAP YAPIMIZ
 NEDEN eduroam ?
2) Güvenli olması
• Kullanıcının kimlik denetimi tamamlanıncaya
kadar sadece 802.1x EAP trafiği geçiyor. Diğer
tüm trafik bloklanıyor (DHCP, HTTP vs.).
• Tüm veri dinamik anahtarlar kullanılarak
şifreleniyor, bilgilerin çalınma olasılığı yok.
• EAP-TTLS kullanıyor.
EAP-TTLS kimlik kanıtlama verisinin
emniyetli iletimi için şifreli bir TLS tüneli kurar.
 NEDEN eduroam ?

Kimlik doğrulama sunucusu kullanıcının kimlik doğrulama isteği yaptığını belirlerse, kullanıcıya
sertifikasını gönderir

Kimlik doğrulama sunucu sertifikası kullanıcı ve sunucu arasında bir tünel oluşturmak için kullanılır

Tünel kurulduktan sonra, kimlik bilgileri, sunucu ve kullanıcı arasında güvenli bir şekilde iletilir.
 NEDEN eduroam ?
3) Geniş kapsama alanı: DÜNYA
Avrupa 3442, Amerika 43, Uzak Doğu 34, Avusturalya 152, Afrika 8 Kurum
 NEDEN eduroam ?
3) Geniş kapsama alanı: TÜRKİYE
Toplam 42 Kurum, 3189 Erişim Noktası
• Orta Doğu Teknik Üniversitesi
• Ankara Üniversitesi
• Çanakkkale 18 Mart Üniversitesi
• Erciyes Üniversitesi
Kurum • Uşak Üniversitesi
Yıl • Dokuz Eylül Üniversitesi
Sayısı
• Karadeniz Teknik Üniversitesi
2007 3 • Eskişehir Osmangazi Üniversitesi
• Adnan Menderes Üniversitesi
2008 3 • Pamukkale Üniversitesi
2009 10 • İzmir Ekonomi Üniversitesi
• Muğla Üniversitesi
2010 18 • Çankırı Karatekin Üniversitesi
• Namık Kemal Üniversitesi
2011 7 • Mehmet Akif Ersoy Üniversitesi
• Ahi Evran Üniversitesi
• Batman Üniversitesi
• Süleyman Demirel Üniversitesi
• Gaziantep Üniversitesi
• Atatürk Üniversitesi
• Şırnak Üniversitesi
• İzmir Yüksek Teknoloji Enstitüsü
• Atılım Üniversitesi
• Afyon Kocatepe Üniversitesi
• Maltepe Üniversitesi
• İstanbul Üniversitesi
•
Karamanoğlu Mehmetbey Üniversitesi
• Giresun Üniversitesi
• Abant İzzet Baysal Üniversitesi
• Sakarya Üniversitesi
• Marmara Üniversitesi
• Gümüşhane Üniversitesi
• Cumhuriyet Üniversitesi
• Dicle Üniversitesi
• Kastamonu Üniversitesi
• Ordu Üniversitesi
• İstanbul Teknik Üniversitesi
• Ege Üniversitesi
 NEDEN eduroam ?
3) Geniş kapsama alanı: TÜRKİYE
 NEDEN eduroam ?
3) Geniş kapsama alanı: DENİZLİ
Çivril MYO
Bekilli MYO

Buldan MYO • Merkez Kampüs + 6 İlçe MYO

Çal MYO • 146 Erişim Noktası
Denizli MYO Honaz MYO

Kınıklı Kampüsü

Kınıklı Kampüsü
 NEDEN eduroam ?
4) 5651 ihtiyaçlarını karşılaması
Radius.log
Tue Apr 12 11:27:13 2011 : Auth: Login OK: [bidb@pau.edu.tr] (from client 10.200.1.0/24 port 4 cli 00-23-D3-E0-BB-9E via TLS
tunnel)

Radius Detail Log

Wed Apr 6 13:08:05 2011
User-Name = "artuirl***@student.polsl.pl"
NAS-Port = 13
NAS-IP-Address = 10.200.1.8
Framed-IP-Address = 10.241.0.153
NAS-Identifier = "Cisco_8e:c3:e4"
Airespace-Wlan-Id = 1
Acct-Session-Id = "4d9953b5/6c:62:6e:22:ff:ce/60648"
Acct-Authentic = RADIUS
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "241"
Acct-Status-Type = Interim-Update
Acct-Input-Octets = 981
Acct-Output-Octets = 656
Acct-Input-Packets = 19
Acct-Output-Packets = 8
Acct-Session-Time = 1
Acct-Delay-Time = 0
Calling-Station-Id = "10.241.0.153"
Called-Station-Id = "10.200.1.8"
Acct-Unique-Session-Id = "dd488c662455202c"
Realm = "DEFAULT"
Timestamp = 1302084485
Request-Authenticator = Verified
 NEDEN eduroam ?
4) 5651 ihtiyaçlarını karşılaması
 NEDEN eduroam ?
5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.
• Windows Mobile, XP, Vista, 7 (SecureW2 ile)
SecureW2.inf dosyası düzenlenip kurulum kolaylaştırılabiliyor
 NEDEN eduroam ?
5) Her türlü mobil cihaz ile sorunsuz bağlanılabiliyor.
• Linux türevleri
• MacOS, Iphone, Ipad, Ipod
• Symbian
• Samsung BADA
• Blackberry
• Android

Bağlantı Ayarları: http://pau.edu.tr/eduroam

 NEDEN eduroam ?
6) Prestij
Özellikle kurum dışına giden öğrenci/personel ve
misafir akademisyenler tarafından görülen
takdir.

eduroam:
Uygulanması kolay ve doğrudan son kullanıcıya
sağladıkları ile Bilgi İşlemi kurum içerisinde ön
plana çıkaran bir projedir.
 İSTATİSTİKLER
2011 Yılı Servis Sağlayıcı İstatistikleri
(Kuruma Gelen Misafir Kullanıcılar)
4500
4215

4000

3500

3000 2847

2500

2000 1840
1713

1500
1169

1000 780

451 426
500 377
285 267 242 175 104 63 61 52 29 27 19 15 11 2 1 1
0
 İSTATİSTİKLER
2011 Yılı Kimlik Sağlayıcı İstatistikleri
(Kurumun Gezen Kullanıcıları)
7000

6293

6000

5000

3949
4000

3000

2000 1855

1357
1096
895 835
1000
600 592
377
254 252 183 174
65 57 54 54 35 28 22 21 20 16 11 8 4 3 2 2 2
0
 İSTATİSTİKLER
Pamukkale Üniversitesi 2011 Yılı Servis Sağlayıcı İstatistikleri
(Pamukkale Üniversitesi’ne Gelen Misafir Kullanıcılar)

500

450 430

400

350

300

250

200

150
113
103 100
100
47 47
50 37
6 5 4 2 1
0
 İSTATİSTİKLER
Pamukkale Üniversitesi 2011 Yılı Kimlik Sağlayıcı İstatistikleri
(Pamukkale Üniversitesi’nin Gezen Kullanıcıları)

1400

1180
1200

1000

800

600

400

191
200
125 116
80
44 23 20 17 15 11 6 4 4 3 1
0
İSTATİSTİKLER
Radius Sunucusuna Gelen
Aylık İstek Sayıları

• 1.246.244 PAÜ öğrencisi

• 224.733 PAÜ personeli
• 6226 Yurt Dışı
• 939 Yurt İçi
 İSTATİSTİKLER
Bant Genişliği Kullanımı
 SONUÇ
eduroam İçin Neye İhtiyacımız Var ?
• Yatırım yapmaya gerek yok!
Mevcut kablosuz ağ kullanılabiliyor.
• ULAKBİM eduroam ulusal yetkilendirme sunucusu
tarafından ulaşılabilir bir Radius sunucu
Donanımsal olarak düşük konfigürasyonlu bir sunucuya linux kurmak yeterli
• Kurulumu Kolay :
http://www.eduroam.org.tr/dl/freeradius-v2.1.4-Kurulumu.pdf
• Kullanıcıların tutulduğu kimlik denetim sunucusu
(LDAP, AD)
Genelde herkeste biri zaten var
 JOIN…

TEŞEKKÜRLER …