SSG/SSR(BRAS)/BNG

Bras(Broadband Access Router), DSLAM'lardan gelen trafiği toplayıp internete çıkışı şağlayan yönlendiricidir. SSG(Service Selection Gateway) olarak da adlandırılmaktadır.

Bizim bir DSL ya da GPON trafiğimiz var. Biz bunları BRAS'larımızı üzerinde alıyoruz ve MPLS node'larımız üzerinden internet bulutuna çıkartıyoruz. BRAS (Broadband Access Server- Genişbant Erişim Sunucusu), XDSL teknolojisinin kullanıldığı noktadan noktaya protokolün (PPP- Point to point protocol ) sonlandığı cihazlardır. PPP protokolünü sonlandırıp, AAA sunucusundan gelen bilgiler doğrultusunda müşteriye ip atama işlemi ve yetkilendirme işlemi uygular. İP atadığı müşteri devrelerin de internete ya da ilgili uygulamalara erişmesini sağlar. Genel literatürde BRAS olarak adlandırılan cihazlar farklı üreticiler tarafından BNG (Broadband network gateway- Geniş bant ağ ara geçidi), SSG( Service Selection Gateway- Servis Seçimli Ara Geçit), SSR (Smart Service Router -Zeki hizmet yönlendirici) olarak da isimlendirilir.

SSR 8020 veya SE1200 ürünlerimiz vardı. SE1200 ler end of life oldu. Networkten kaldırdık. İşten onların yerine Zte'nin BNG cihazlarını koymuş olduk.

Şuan ericscon'un SSR 8020 dediğimiz cihaz kullanıyoruz genelde. Yeşil olan kartlarımız bizim trafik kartlarımız. Kırmızı olan kart ise control kartlarımız. Cihazın altında ve üstünde fan üniteleri var. Alttakinden hava girişi üstekinden ise hava çıkışı olan yerimiz var ve cihazımızın en alt kısmında da güç ünitemiz var.

RPSW ve ALSW kartları kendi içlerinde yedekli olarak çalışır. 20 Terabayt trafik işleyebilir. Maksimum 748 bin abone sonlandırabiliriz Kart başına toplam 96 bin abone sonlandırabilirz. Full dublex Slot kapasitesi 1 terabittir. Slot başına 100 gigabit kullanabiliriz.

Abone kartları yani trafik kartları

Şuan mevcutta kullandığımız kartlar yukardadır.

Biz kartı ilk taktığımızda yapacak olacağımız bir konfigurasyon ile istersek bu kartı 20 tane 1 giga 2 tane 10 giga port olarak kullanabildiğimiz gibi. Yine yapacak olduğumuz konfigurasyonla sadece 4x10 giga olarak da kullanabiliyoruz. Kullanım yerine göre ilk başta bu konfigurasyonu yapıyorsunuz. Bu konfigurasyonu yaptıktan sonra kartın üstündeki tanımlar ya da kart yeniden silinmeden o konfigurasyonu değiştirme şansınız yok.

PVC kapasitesi ile izin verilen pvc kapasitesi ne olabilir ?

8 adet güç ünitemiz var. Fakat şöyle çalışır Güç ünitemiz şu şekilde çalışır. Maksimum güç tüketimi durumunda sistem 7 adet power modulü ile çalışır. Yani güç ünitesi ile çalışır. 8. modül her zaman yedek olarak tutulur ve herhangi bir modül arızalandığında bu modül devreye girer. Slot başı güç tüketimi 400 wattır. Giriş gücü 2400 watt. Çıkış gücü ise 2100 watt olarak her bir power modülü karşımıza çıkar.

Cihazın ölçüleri aşağıdaki gibidir.

Transceiver Türleri

Transceiver ==>Line kartlarda fiber kabloları veya cat 5 kabloları sonlandırmak için kullandığımız, basit dönüştürücülere deniliyor. Fiber türüne ve taşıyacağı bant genişliğine göre çeşitlilik gösterir. 4 portlu kartlarda SC-SC gbic kullanılırken 1 GB portlarda SFP, 10 GB portlarda ise XFP kullanılmaktadır.

SSG'Lerde genel olarak LC connector türleri kullanılmakta (SFP ve XFP transceiver ile birlikte) Not: 800 şasilerde kullanılan eski 4 portlu GE kart Gbic'lerde SC konnektör kullanılmaktaydı.

Kırsal alanlarda sahalarda FC konnektör kullanılıyor. ST ise bazı kırsal yerlerde var. MTP bizde kullanılmıyor. D4 , bazı radyo cihazlarda kullanılıyor. ESCON ve MTRJ'yi TDM dediğimiz cihazlarında ATM cihazlarında kullanılıyor. Çok kalmadı o cihazlardan da. Transmission kırsalında kullanılan FC ve ST en yaygın olarak kullanılan konnektör türüdür.

SSR veya SSGLerimizi herhangi bir NMS üzerinden değil bir CLI üzerinden yani komut satırları ile kontrol ediyoruz ve konfigure ediyoruz. Biz bütün işlerimizi CLI üzerinden yapıyoruz. Şasemizde 20 port var. Hangi kartlar var. Hangi kartla çalışmıyor ona bakmak için show chasiss komutu ile bakıyoruz. Kartta herhangi bir sorun yoksa operational state'de IS yazması gerekiyor. n/a varsa orada ya kart yoktur ya da kart vardır ya da arızalıdır veya taktığınız kartta yaptığınız konfigurasyon birbiri ile uyuşmuyor.

18. slota bir kart tanımlıyorum.

18.slota bir kart konfigurasyonu yaptım fakat bir kart takılı olmadığı için n/a olarak gözüküyor. Yukarda configured type ve installed type var. Yani installed edilmemiş herhangi bir kart yok üzerinde.

show hardware komutu ise, cihazımızın üstündeki bütün takılı olan kartlarıni backplane vs. hepsinin durumunu ve seri numaralarını görebiliyoruz. Kontrol kartlarından tutunda trafik kartlarına kadar hepsinin durumunu ve seri numalarını yine burada görebiliyoruz.

show port komutunda ise kartların üzerindeki portların durumunu görebiliyoruz.

Portun konfigurasyonunu yapmadığınız sürece portu göremezsiniz up ya da down hiç farketmez. Ne zamanki o porta bir konfigurasyon yaptınız ancak o zaman o portu show port dediğinizde görebilirsiniz o yüzden aradaki 10.port vs. yok.

Portu daha detaylı görmek için show port 1/1 detail vs yazabilirsiniz.

Kontrol kartları her zaman birisi yedekli olacak şekilde çalışır. Aktif ya da standby olurlar. Aktif karta herhangi bir şey olduğunda standby daki kart kesintiye mahal vermeden üzerine yükü alabilsin diye bunun içinde aktif ya da pasif olarak çalışan 2 kart devamlı birbiri ile haberleşip, Stanby aktif üzerinden kendini senkron edebiliyor olması gerekir. Bunu gözleyebildiğimiz komut ise show redundancy komutudur. Standby hazır olup olmadığını buradan görebiliriz.

SSG/BNG Process Listesi

SSG/BNG'ler üzerindeki processler cihazın stabil olup olmadığı ile ilgili bilgi içerdiğinden process kontrollerinin belli aralıklar ile yapılması önemlidir. Aşağıda kullanılan processlerin bir listesi vardır.

CPUstats == Cpu bilgilerinin işletildiği processtir. Bununla cihazda bilgileri çekeriz. Aaad önemlidir AAA'ya gidecek yani bu kullanıcı benim kullanıcım mı bak diye soran bir processtir. Bunda sorun olursa kullanıcılar ip alamaz bizden. ISM proccess, interface yönetiminin işlendiği processtir. Portlardaki interfacelerin yani gelecek olan downlinklerde sorun yaşarız ve çalıştıramayız müşterilerde.

L2tp önemlidir. VAE dediğimiz bu veri akış erişimi ile çalışan ISS'lere göndemiş olduğumuz müşterileri kontrol eden L2tp protokolünü kontrol eder.

CPU'nun şişmesi demek cihazın stabil çalışmaması anlamına gelir. Biz cihaz örneğin çok fazla CPU yiyebilir. Bu sebepten dolayı CPU yüzden 90vs ulaşabilir. Bu tarz durumlarda cihazı stabil çalışmaması ve kaybetmesine sebep olabilir.

Örnek olarak SSGmiz komple çöktü ve tekrar ayağa kaldırdınız cihazı 100 bin tane abone var diyelim SSG üzerinde bu 100 bin tane abone biz cihazı ayağa kaldırdığımızda hepsi AAA'ye ben geldim adım bu bana ip ver diyecekler ve ne olacak. Bu 100 bin tane müşteri kuyrukta devamlı AAAD processini şişirecek ve CPU yüzde yüzlere dayanıp tekrar cihazda sorunlar olabilir. Bu tarz durumlarda cihazı tekrar restart ediyorsak biz şöyle çalışırız. Bütün downlikleri kapatırız. Yani gelen müşterilerin portlarını kapatırız. Cihazı önce bomboş bir şekilde ayağa kaldırırız. Sonra sıra ile downlink portlarını açarız. Önce 2 port açarız. Onlar gider iplerini alırlar. sonra 2 tane daha açarız o şekilde sırasıyla açarız ve processlerin inmesini bekleriz. hemen hepsini açmayız.

Process hakkında daha detay bilgi almak istersek ise detail yazarız.

SE-SSR üzerinde processler birbirinden bağımsız olarak yeniden başlatılabilir. Ancak yönettikleri sistem etkilenir. Örnek, AAAD process'i restart edildiğinde process restart işlemi tamamlana kadar aboneler AAA işlemi için beklemede kalır.

Yani AAAD processi şişmiştir. Yeni gelen müşteriler ip alamıyordur. Proccess'in şiştiğini gördük ya cihazı reboot etmemiz gerekir. Ya da processi restart etmemiz gerekir. Bu tarz durumlarda komut olarak proccess restart aaad kullanırız. aaad processi restart olur ve tekrar UP olmak için belirlenen süre (saniye) sonra up olur. aaad processi restart olurken process hakkında veri ve logların kaydedildiği bir dosya oluşturulur ve process tekrar UP olur.

Sistem Processleri

Protokol/İstatistik bazlı processler diğer hiçbir process veya işleyişi etkilemez ancak sistem bazlı processler bazı durumlarda diğer processleri etkileyebilir.

• ISM processi sistem üzerinde sanal ve fiziki interfaceleri yönetmektedir.

• DLM processi, SE üzerinde active ve standby control kartları üzerindeki komşulukta dosya yönetimi sağlamaktadır.

• RCM processi, konfigurasyon işlevini kontrol etmektedir.

• STATS processi, tüm istatistik ve counterları tutmaktadır.

DPI(SCAP)

Bizim networkümüzde SSG'lerin arkasında bizim olmazsa olmaz cihazlardan birisir. Seri olarak takılır yani bizim SSG'lerimizin uplinkleri önce DPI'ya girer. DPI'dan çıkar ondan sonra MPLS'e girer. Arada köprü gibidir. Seri olarak aradaki uplinklere takılır.

LNS SSG'lerin ve Alsat LNS SSG'lerin çıkışlarında yer alan direkt bağlı cihazlardır. Abone kota ölçümleri, DPI cihazları tarafından sağlanan CDR verisi üzerinden hesaplanmaktadır. Kota bilgilendirme SMS ve eposta tetiklenmesi,DPI cihazları tarafından sağlanan CDR verisi üzerinden hesaplanmaktadır. İçerik filtreleme işlemlerinde de DPI cihazları kullanılabilmektedir. Olası arıza halinde DPI cihazları, bypass moduna alınarak trafiğin DPI cihazında işlem görmeden akması sağlanabilir; ancak bu durum kota hesaplamalarında CDR kaybı kaynaklı hatalara sebebiyet vermektedir.

Yani kısaca bizim bütün trafiğimiz gözlemler bu DPI'lar gerektiğinde içerik kısıtlaması yapar. Gerektiğinde içerik kısıtlama yapar. Gerektiğinde devletin şu siteye erişimini engelle. Ya da şu yöne erişim yaptırtma dediği durumlarda yasal olarak bu cihazlar üzerinden biz bu işlemleri yaparız.

AAA Sunucusu

(Authentication,Authorization,Accounting) Server, müşteri modeminden gelen kullanıcı adı ve şifrenin kontrolünü yapan ve kontrolün geçerli olması halinde müşteriye hız, kota, ip adresi gibi yetkilendirmeler yapan ve müşterinin aktif olarak internete erişiminden itibaren ne kadar veri alıp verdiği kaydını tutan sunucudur. Bras ile radius denilen özel bir protokol ile haberleştiğinden AAA sunucusu Radius olarak da isimlendirilir. Bu cihaz bir sunucudur. Bu cihaz üzerinden herhangi bir trafik akmaz. SSG bu cihaza sadece sorgulama yaptırtır. Bizim bütün DSL müşterilerimiz yani genişbant müşterilerimiz bilgileri bu server üzerinde tutulur sonra bizim SSG'mize bir müşterimiz geldiğinde biz şunu yaparız müşteri gelir. SSGde ppp oturumu açılır. Session açılır yani kullanıcı adı ve parolasına bakılır ve radiusa gönderilir. SSG derki sana birisini yolluyorum. Kullanıcı adı ali@ttnet buna bak bakayım bizim kullanıcı mı radius server buna bakar. Evet ben de var derse parolayı da kontrol eder. Radius tekrar bakar. Radius hemen şuna bakar. Bu müşterinin hızı ne bu müşterinin statik ip adresi var mı? Bu müşteri kotalı mı kotasız mı kotalı ise kotası ne ? Bu müşterinin borcu var mı yok mu ? gibi bunların hepsine bakar ve SSG ye derki ali@ttnet benim müşterim buna ip adresi verebilirsin der. SSG, AAA dan aldığı cevap sonucunda müşteriye ip adresini verir ve internet bulutuna müşteriyi çıkartmak için ip adresi modeme doğru yollar. Borcu varsa buna ip verme uyarı mesajı çıkar vs. emirleri verir.

Oturum başlangıcı ya da oturum sonlandırma saatlerini,gününü dakikasını tutar. Çünkü savcılık tarafından bir ip tespit istendiğinde müşteri hangi gün hangi dakika da hangi ipyi almış gibi bilgiler istenir.

Uzaktan Erişim

Örnek olarak Samsun bölgede 9 adet SSG var. Bu cihazlar geniş bant core cihazlarıdır. örnek olarak birisi sinopta birisi amasyada birisi çorumda, orduda vs. Benim bu cihazlara uzaktan erişebiliyor olmam lazım. Gidipde cihazın başından yönetemem bu cihazları. Bizim BNG'lerimiz çeşitli lokasyonlarda kurulu. Bu çeşitli lokasyonlarda birkaç erişim yöntemimiz var. SecureCRT gibi program kullanırız. Bu cihazlara artık genelde Tacacs+ server'lar ile ulaşıyoruz. Tacacs+ server kullanilmadan önce normalde biz bütün SSGlere Mpls nodelarımıza erişebilmek için bütün bu nodeların içine kim yeni başladıysa bu kullanıcı adları giriyorduk. Örneğin Samsun bölgede100 kusur tane mpls nodeu ve 9 tane de SSGmiz var. Yani 120 civarı tane cihaz var. Yeni birisi başladığında eğer bizim tacacs serverımız olmasaydı. Ben bu 120 cihaza teker teker yeni başlayan kişinin kullanıcı adı ve parolasını tanımlamamız gerekiyordu ve ondan sonra yeni başlayan A kişisi bütün cihazların ip adreslerini securecrt de tek tek adını yazacaktı. Samsun type 3 , amasya type 3 gibi diye tek tek secure crt de bunları tanımlayacaktı.

A kişisinin 120 cihaza kullanıcı adı ve parolasını yazacaktım. Tacacs server ile biz bu sorundan kurtulduk. Biz her gelen yeni hizmete aldığımız cihazı, node'u, gittik tacacs servera ip adresini tanımladık ve bölge bölgede grupladık. Örnek olarak samsun bölge cihazlarını samsun bölge altına, ankara bölge cihazlarını Ankara bölge altına. tüm türkiyede de bu 11 bölgeyi ekledik. Admin yetkisi ve monitor yetkisi kişilere veriliyor. Priviledge'ini veriyoruz. Admin,show, service şeklinde ve priviledge verdikten sonra ben bir daha bölgedeki yüzlerce cihaza kullanıcı adı ve parola girmek zorunda kalmadım. A kişisi de gitti securecrt üzerinden yüzlerce cihaz için kullanıcı adı(sicil) ve parola girmek zorunda kalmadı.

Amasyada benim erişebileceğim cihazlar önüme döküldü

Buradan sırasını girdiğimizde direk olarak o cihazın içerisine girmiş oldu. Ya da ismi ve ip adresi ile de aynı şekilde yazarak girebiliriz.

ve böylelikle hem bizim her seferinde yeni gelen birisi için yüzlerce cihaza kullanıcı girmek zorunda kalmadık. Hem gelen kişi kendi securesrt üzerine yüzlerce node'u eklemek zorunda kalmadık. Artık elle tek tek networkler yönetilemez hale geldiği için tacacs serverlar üzerinden bir artık cihazlarımıza erişebilir duruma getirdik.

aaa authentication administrator tacacs+ local ==>Önce tacacsa bak, tacacs ile haberleşiyor isen, tacacsdaki bilgileri baz alacaksın. Eğer tacacs ile haberleşmen yoksa git local'e bak. local'e bak ise şu demek cihaz üzerindeki tanımlı kullanıcılar.

Localdeki kullanıcılara bakma komutu ise şu show conf local

Bu kadar kullanıcı tacacs ile cihaza bağlanamıyorsa, bu cihaza bağlanabilir. Çünkü diğerlerinin bağlanmasını istemem bu tanımlı olanlara yönetici düzeyinde insanlar. Yetkili admin kişiler. Çünkü diğierlerinin girmesini istemiyorum bu cihaza ancak super admin olanlar erişebilsinler.

aaa authentication administrator local tacacs+ yaparsak ise şu şekilde bir senaryo olur. Ben girmek istediğimde buradaki kullanıcı adım ile de girebilirdim. Tacacs+ daki kullanıcı adım ile de girebilirdim. Tacacs+ local => Tacacs+ ya erişebiliyorsam local'i yok say.

Konsol Sunucusu

Normalde biz cihazlara erişim gittiğinde Tacacs vs. gittiğinde Konsol bağlantısı yaparız. Bunun içinde cihazların olduğu yerlere konsol serverlar koyduk ve gittik ve bizim bu cihazlarımıızın konsol portlarına yani craft portlarına gittik bu servera taktık. Bu server dediğimiz switch aslında buna bağladık hepsini sonra bu switchi de gittik. İnternet üzerinden SDH networkü üzerinden, dial up üzerinden dış dünyaya açtık bu swithci. Switche'de tanımlarımızı yaptık ve artık şu oldu ben oturduğum yerden bu switche bağlanıp, sanki cihazın yanındaymışım gibi cihaza konsol olabiliyorum.

Cihaza erişim gitsin ben bu cihaza artık konsol server ile bağlanabiliyorum artık.

Konsoldan girerken de SSG içerisindeki local kullanıcı adı ve parola ile giriyoruz. Sonuç olarak yanındaymışız gibi düşünebilirsiniz.

En alt satırda tacacs devrede ise öncelikle tacacs kullanılmasını istiyor. Tacacs hayatta ise ben istesemde localdeki kullanıcı adı ve parola ile bağlanamam. Tacacs ne zaman ayakta değil o zaman ben localdekil ile bağlanabilirim.

Bağlı olan kullanıcıları görüntülemek için ise bu komut kullanıyoruz.

show priviledge komutunu diyebiliyoruz.

sh administrator komutu ile şuan bu cihazda bağlı olunan kullanıcıları görürüz.

Şuan bu cihazda bağlı olan kullanıcılar görüyorsunuz. Bir kullanıcıyı adminseniz cihazdan düşürebiliyorsunuz. Biz bunu genelde şunu nerdelerde kullanıyoruz. Bir cihazda sorun oluyor. Biz cihazda bir sorun varsa herkes bir şey yapmak için bağlanır. İşi olan da girer, Yetkilisi de girer yetkisisizi de girer. Bir bakarsınız bir dünya kişi girmiş. Bu cihazların aynı aynda belli sayıda girebilecek kapasitesi olduğu için gereksiz kişileri çıkartırız. Ya 8 kişi ya da 10 kişi maksimum aynı anda girebilir.

Benim cihaza uzaktan erişebiliyorsam, dünyanın her yerinden bu cihazlara erişim olabilir bunu sınırlandırmak için ACL listeleri oluşturuyoruz.

Diyoruzki cihazlara bu cihaza şu bloktan ya da şu ip den gelenler erişsin, burada tanımlı olmayan kimse erişemesin diyoruz. ACL'de yani bu cihaza hangi ip adreslerin veya hangi ip bloklarının erişmesi gerektiğini belirtiyoruz.

Konsol bağlantısı yaptığımızda ilk başta base tanımları yapıyoruz. Bunlar ip ataması, sonra bu cihaza dış dünya ile fiziksel olarak bağladığımız interfaceden yani portuna route tanımları giriyoruz ve bu cihazı dış dünyaya yani internet bulutuna eriştireceğimiz internet protokolünün tanımlanmasını yapıyoruz. Bu da bizim BGP tanımları oluyor. Bu base tanımları yaptıktan sonra ancak cihazlara erişebiliyoruz. Cihazımız herhangi bir NMS üzerinden yönetilmiyor. Tamamen CLI komutları ile yönetiliyor.

Sarı olan kısım cihzın hangi context içerisinde olduğumuzu gösterir. Mavi ile gösterilen kısım cihazın adı. Pembe ise cihazda hangi modda olduğunu gösteriyor. SSG cihazı da aslında bir routerdır. Hem de gelişmiş bir routerdır. SSG cihazları layer 2 ve layer 3 den de anlayabildiği için gelişmiş bir cihazdır. SSG cihazları bir router içinde sanki fiziksel routerlar varmış gibi sanal router yapısını barındırır.

Normalde herbir farklı hizmet için farklı farklı routerlar üst üste koyarız. Herbirinden farklı hizmet veriririz. Fakat bizim SSG'lerimizde şöyle bir güzelliğimiz var.

SSG'lerde ip dağıtım işini yapıyoruz. İnternete bizim mpls node'umuz çıkarıyor. Bizim cihazımızın internete çıkışı mpls node'lar üzerinde. Sanal routerlar kurabiliyoruz ve herbirini farklı portlarda dışarıya çıkarabiliyorum. Cihazım tek ama içinde benim sanal routerlarım var.Buna SSG'lerde contex diyoruz. Herbirinin farklı ip adresi var. Kendi içinde yönlendirme yapar.

Ericson SSR'larda buna bir Contex diyoruz. Zte Bng'lerde ise VRF diyoruz.İnternet müşterileri adsl contexinden çıkartıyorum. adsl1 ,adsl2 de ise benim sattığım alsat müşterilerim yer alıyor. Farklı hizmet türü olan toplama SSGlerde yer alan müşterilerim burada yer alıyor. Vpop da ise bütün ISP'leri taşıyorum. Superonline vs. SSGVPN de ise MEB,Sahil güvenlik, Jandarma vs farklı özel hizmet isteyen müşterileri taşıyorum. Niye çünkü gitmek istediği yer farklı. ASAM,İPDM ve DM-Hua contexlerinde ise Dslam'larımın managementlarını sonlandırıyorum. Niye 3 tane ise alcatel için bir context, huawei için bir context ve Zte için bir context olacak şekilde. İhtiyaca göre tabiki hepsi. Static conteximden static müşterilerimi taşıyorum. Neye ihtiyacım varsa ona göre.

Burada benim dinamik ip bloklarım var buradan müşterilere ip dağıtımı yapıyorum.

cont vpop dersek ve sh conf dersek burada bütün VAE'ler gözüküyor.

context ssgvpn sh conf

CLI kullanılarak yapılan konfigurasyonlarda her şey RAM'de depolanır. Cihaz reload olduğunda RAM'deki bilgiler silinecektir. Bu sebeple bilgiler flash'a yazılmalıdır. Not: Bunun için SSR üzerinde save conf komutu koşturulur.

Store RAM --> Flash

Dahili Depolama:3 bölümden oluşur.

• Primary boot partition

• Alternate boot partition ->upgrade partition

• Konfigurasyon dosyaları

• Cihaz referansı: /flash

Harici depolama: 1 Giga microdrive slot vardır.

• Konfigurasyon dosyaları

• Log dosyaları

• Cihaz referansı: /md

sadece config varsa buna backplane adı veriliyor. SSG-01(config)#

Ana konfigurasyonu etkileyecek yerdesiniz anlamına geliyor. Ana konfigurayon tanımlarını yapabilecek yerdesiniz. Ama bir context de işlem yapacaksanız o contex'in ismini yazmanız gerekiyor.

Burada dediki ben bir contexin içerisinde config moddayım dedi.

Şimdi de dediki ben bir interfanin içerisinde konfig moddayım dedi.

end derseniz bütün konfigurasyondan çıkarsınız.

• Her komutun bir yetki seviyesi vardır. Bu yetki seviyesi ayrıca tanımlanabilir.

• Varsayılan (default) seviyeler

  • Exec (çalıştırılabilir) komutlar :3

  • Debug komutlarları: 10

  • Config komutları: 10

• Kullanıcı (admin) tanımlarında erişim yetki seviyesi tanımlanır.

  • Varsayılan default 6'dır.- Yetki seviyesi 6 ve daha az olan komutları kullanabilir.

• İstem (prompt), bulunan yetki seviyesini gösterir.

  • >:yetki seviyesi 6 veya daha aşağısı

  • #:yetki seviyesi 7 veya daha yukarısı

Komut Alias'ları (Başka Ad Verme)

• Çok kullanılan komutlar için kullanıcılar alias tanımlayabilirler.

• Alias'lar sistemdeki diğer kullanıcıların kullanımına açıktır.

• Alias komutu olarak var olan bir SmartEdge komutu tanımlanmamasına dikkat edilmelidir.

Normalde ben show subscribers active username (kullanıcıadı) tıkladığımda o kullanıcı tünele çıkmış mı, ip almış mı vs. Kullanıcı ile ilgili bilgiler alırım.

context adsl'e girdik ve adls'deki kullanıcılara bakalım.

Kullanıcı ip adresi almış mı almamış mı ona bakıyoruz. Fakat şu şekilde de yazabiliriz buna alias tanımlayarak.

abone yazdığımız da aslında SSG için sh sub act user anlamına geliyor.

Buna işte alias komutu diyoruz.

• Konfigurasyon

  • Konfigurasyonda yapılan değişiklikler "commit" (icra etme) edilene kadar etki etmez.

    • "no" komutu ile satır satır geriye dönülebilir.

    • Yapılan tüm konfigurasyonu kaydetmeden çıkmak için abort komutu kullanılır.

  • Harici commit

    • commit

  • Görünmeye Commit

    • exit ve end: konfigurasyon yaparken bu komutlar kullanıldığında yapılan konfigurasyon değişikliği commit edilir. (Yürürlüğe girer.

  Commit etmesini engellemek istersek abort komutu yazarız.

Konfigurasyon, Context Kavramı ve Binding

Context

• Bras,portlar ve portlara bağlanmış arayüzler üzerindeki bütün OSI referans modeli 3. katman işlevlerini context adı verilen sanal yönlendiriciler(virtual router) vasıtasıyla yapar.

• Bras üzerinde bir tane context tanımlanacağı gibi farklı portlardan gelen farklı teknolojiyi kullanacak ağ sistemleri için birden fazla context tanımı yapabilmektedir.

• Her contex'in sahip olduğu IP adres uzayı,yönlendirme tablosu, yönetimsel değişkenler birbirinden farklıdır.

• Mantıksal açıdan bakıldığında contexler sayesinde bir BRAS içinde birden fazla farklı farklı görevleri olan yönlendiriciler çalıştırabilmektedir.

İstersek şunu da yapabiliriz. Birden fazla contexi aynı portla da ilişkilendirebiliriz. Ama ne yaparız vlanlar ile böleriz. Yani sanal yollar ile farklı yönlere gitmelerini sağlayabiliriz. Yani her bir contexe farklı bir port kullanmak zorunluluğumuz yok aslında.

Şebeke de kullaılan contexler "show context all" komutu ile görüntüleyebiliriz. Aşağıda bir LAC'ta bulunan bazı contexler ve kısa açıklamaları yer almaktadır.

Interface: Bir contexte var olan mantıksal bir yapıdır. Bir interface contexe doğrudan bağlı bir layer 3 subneti ifade eder.

Bir contexin içerisinde bir interface tanımı diye bir şey gördüyseniz bu aslında ip den bahsediyoruz demektir.

Port: SE ve SSR'a şebeke kablolarının fiziksel bağlantısının yapıldığı yerdir. Cihaz üzerindeki portlarını durumunu görüntülemek için sh port komutu kullanılır.

Örnek bir ethernet ve atm port çıktısı aşağıda gibidir.

Port detay bilgisi aşağıdaki komutla gösterilmektedir.

Bİr fiziksel port ile o sanal interfaceyi ilişkilendirmeye binding deniliyor.

Binding

Contex'te tanımlı bir interfaceyi porttaki bağlantıya ilişkilendirmesidir.

Not: Komutların girildiği sıra önemlidir. Bind edebilmek için contexin ve contexteki interfacein tanımlı olması gerekir.

Önce context tanımı sonra interface tanımı sonrasında ise binding işlemi yapmak gerekiyor.

Domain

Aboneler LAC'a geldiğinde domaini ile ayrıştırılırlar ve abone ilgili domainin olduğu contexte yönlendirilir. İlgili context kuralları işletilir.

DSLAM ile BRAS arasında arada mpls node'ları vs. var.

Veli@superonline geldi ssg de baktı cihaz. vpop contexi içerisinde buldu.

sonrasında sh conf komutunu yazıyoruz.

vpop contexi içerisinde buldu SSG. Not olarak bir domain sadece bir contexte tanımlanabilir. Ben bu domaini gidip şuanda ADSL domainine tanımlayamam. Başka bir yerde zaten tanımlıdır der. Domain ismi unique'dir. Sadece bir yerde var. Başka bir yere tanımlayamıyorsunuz. Sistem izin vermiyor.

Vpop contexinde burada gidebileceği o kadar çok L2tp tünel var ki nereye gideceğini bilemedi.

TTnet de sorun yok. TTnet tek bir noktadan tek bir noktaya direk ip veriyordu. Ama Vpop'lar VAE'lerin olduğu için ISP'nin. Hepsi farklı yere gidiyor. ISS'lerin kendi Ssglerine gidiyor.

Burada contex içerisine geldi hangi l2tp grubu altında olduğunu buldu ve oraya yollayarak müşterisinin doğru kanala girmesini doğru yerden ip almasını sağlayacak adımı attı. Bundan sonra gidecek ISP'nin kendi SSG'sine oradan yine AAA'sine soracak. ISP olduğu için kendi AAA'sına soracak. Bu benim kullanıcım mı diye bakacak. Sonrasında internet bulutuna çıkaracak. Bizdeki ttnet deki durum ne gelecek soracak sorduktan sonra bakacakki ADSL contexin altında sonra internete çıkacak tabi AAA vs sorgusundan sonra.

Topolojiler

Birden fazla topolojiler var. Bunlardan ilki alsat modeli, diğeri Vae modeli, Pta modeli, dsl vpn şebekesi ve statik ssg network olmak üzere birden fazla topolojimiz mevcut

Alsat Modeli

Tüm teknik altyapı ve sorumluluk türk telekomdadır. ISS; müşteriye satış,arıza açma, faturalandırma vb. işlemleri takip eder.

Küçük ölçekli ISS'lerin müşterilerini alıyoruz. Kendi bağlı bulunduğu dslamın bağlı bulunduğu SSG'ye getiriyoruz. Fakat burada sonlandırmayıp gidip bizim Alsat SSGler üzerinde bunlarda Acıbademde, Gayrettepede ve Ankarada bulunan Alsat cihazlarımız. Bunlar üzerinden sonlandırıp ipyi yine bizim telekomun ama toplama SSG dediğimiz. SSG'leri üzerinden internete çıkartıp iplerini dağıtıyoruz. Neden bunu böyle yapmak zorundayız. Bu işletmeler küçük işletmeler kendileri için SSG kuracak maliyeti karşılayacak müşterileri yok. O yüzden burada bunları biz toplama SSG'lerde topluyoruz ve dış dünyaya çıkarıyoruz. Neden toplayarak yapıyoruz da kendi SSG'sinden çıkartmıyoruz. Onun sebebi de şu bütün müşterileri DPI'lar üzerinden geçirmek zorunda kaldığımız için yasal prosedür olarak. DPI üzerinden geçirmek zorundayız ve Kendi TTnet müşterilerimiz de alsat müşterilerinin yani başka firmaların müşterilerinin aynı DPI'dan çıkartamayacağımız için bunların hepsini toplayıp toplama SSG'lerimiz üzerinden DPI üzerinden internete çıkarıyoruz.

Biz adsl1,adsl2 ya da adsl3 contexindeki müşterilerimizin ilk girmiş olduğu örnek olarak Ankara Sitelerde 3 tane bizim SSRımız var bunlara bağlı DSLAM'ımız var. BU SSG'ler ilk Dslam'ların bağlı olduğu SSG'lere biz LAC SSG diyoruz ve bu biz LAC SSG'lerden müşterilerinin PPP sesionlarını sonlandırmıyoruz. Gidiyoruz alsat cihazlarına bu müşterileri tünelliyoruz. Fatihte var. Ulusda var. Acıbadem de var Bu şekilde bizim toplama SSGlerimiz var. Bunlarada LNS SSG diyoruz ve sonlandırma işlemini bu cihazlar üzerinde yapıyoruz müşterilerimizin ve bu cihazlar üzerinden müşterilerimizi internete çıkartıyoruz.

LAC-LNS ilişkilendirmesine baktığımızda Fatih Ericson SSG'de TT'nin diğer bölgelerindenki müşterileri sonlandırıyoruz

Ulus SSG de yine aynı şekilde diğer bölgedeki müşterileri sonlandırıyoruz.

Acıbadem de ise Ankara bölge, İstanbul bölge ve Antalya bölge, Samsun bölge, Acıbadem 2 de ise başka bölgeler, Fatih SSG de ise başka diğer bölgeyi sonlandırıyoruz

Bir diğer model ise VAE modeli, Veri akış Erişimi , Buradaki senaryo şu bizim büyük ISS'ler var. örnek veriyorum superonline, vodafone,koçnet gibi netone gibi. Bu müşterilerimizin kendi port noktalarında kendi SSG'leri var. Müşterilerine ip verdikleri. Biz Dslamlardan almış olduğumuz onların müşterilerini kendi LAC SSG'de alıp sonlandırmadan onların SSG'sine gönderiyoruz. Layer 2 tünel protokolü ile L2tp tünel ile onların kendi SSG'lerine yolluyoruz ve bu ISS'ler müşterilerine kendi SSG'lerinden kendi ip bloklarından kendi ip adreslerini veriyorlar. Buna da VAE deniliyor.

Vae'de de mantık şu şekilde, bizim LAC SSGden gelen müşterilerimiz,Mpls üzerinden ISS LNS-1 LNS-2, LNS-3 vs. Örnek veriyorum baştaki misal olarak superonline ISS'i sonraki koçnetin, diğeri milinecomum diğeri comnetin vs. bunlara biz müşterileri tünelliyoruz ve ip adreslerini kendi SSG'lerinden almalarını sağlıyoruz.

Aslı şekli yukardaki şekilde. Müşteri Dslamdan Lac SSG'ye geliyor. LAC SSG'ye geldikten sonra biz bu müşterinin sessionunu yani ppp oturumunu tünelliyoruz. Kendi SSG'lerine, kendi SSG'leri üzerinden kendi müşterileri internet bulutlarına çıkıyor.

Ücretlendirme ise şu şekilde; Sabit port ücreti + paket ücreti + internet + ortak yerleşim şeklide alınıyor.

Bu ISS'lerin hemen hemen yüzden 90'ıdan fazlası Bu ISS'lerin LNS SSG'leri bizim ortak salonumuzda konuşlandırılıyor. Ama kendi sorumluluklarında olan cihazlar biz onlardan ortak yerleşim ücreti alıyoruz ekstra yani salon ücreti alıyoruz. Port ücreti haricinde.

PTS modeli

PTS ya da PTA deniliyor. PPP termination and aggregation ilk harflerinden oluşan terminolojik kısaltması PTA'dır. Türk telekom olarak isimlendirmesi PTS (PPP toplama ve sonlandırma) olarak adlandırılmıştır. Abone geldiği SSG'den IP'sini alarak internete çıkış sağlar.

Hangi abonelerdir bunlar; Ttnet müşterilerini sonlandırdığı yapı. Müşteri geliyor ilk girdiği SSG'den ipsini alıp, internet bulutuna çıkıyor.

Bu yapı ile beraber bizim LNS dediğimiz SSG ortadan kalkıyor.

Müşterileri kendi ilk girdiği SSG'ye giriyor. Oradan AAA sorgulamaları vs. yapıldıktan sonra DPI LAC ile Mpls arasına giriyor.

Statik abonelerimiz ne yapıyor. Yine gidip Static LNS üzerinden internet bulutuna çıkıyor buna biz PTA modeli diyoruz.

DSL-VPN Şebekesi

Bir diğeri ise vpn şebekesi vpn şebekesinde ise TTvpn müşterilerimize vermiş olduğumuz hizmet bizim yine müşterilerimizi sonlandırdığımız SSG üzerinden bir vpn bulutu ile müşterilerimizi sokuyoruz ve bu vpn bulutu üzerinden hem müşterilerimizi birbiriyle haberleşmesini sağlıyor Mesh bir yapı ile hem de internete çıkmalarını sağlıyoruz. Bunun en güzel örneği MEB abonelerimiz.

Static SSG

Bölge bazlı statik toplama SSG'leri, abone /Dslam taşımalarında abonenin LNS SSGsinin değişiminden bağımsız olarak bölge içinde müşterinin statik İPsinin sabit kalmasına imkan vermektedir.

Static SSG olmadan önce yapı şöyleydi. Dslam'lar örnek olarak Samsun için konuşuyorum. Samsunda benim merkezde 2 tane SSG'm vardı. Dslamların bir kısmı Samsun-1 deydi, diğer bir kısmı ise Samsun-2deydi. örnek veriyorum aynı sokaktayız. İşyeriyiz static ssg'ye ihtiyacımız var. Benim sokağın karşısında dslin dslamı ssg-1 e gidiyor. Benim olduğum yer de ise ssg-2 ye gidiyor. Ben taşınacağım karşıdaki dükkanın bulunduğu yere geçeceğim. Karşıdaki dükkana geçtiğimde ben SSG-1den ssg-2 ye geçtiğim için static ipmi değiştirmek zorunda kalıyordum çünkü ip yer bildiğiniz gibi unique bir yapıya sabiptirler ve sadece bir yerden anons edilirler. O yüzden static ssg mantığından önce her ssg'ye belirli aralıklarla yetecek kadar static ip blokları eklerdik ve o static ip blogu o ssg de olurdu. O ssgden çalışan bir müşteri başka bir ssgye geçtiğinde o blok orada olduğundan müşterilerin ipsini değiştirmek zorunda kalırdık. Bu müşteri memnuniyeti açısından sıkıntıydı. Bu sebeple şunu yaptık biz bölgesel olarak bir tane static ssg kuralım ve bütün ssglerimizdeki samsun,amasya,tokat vs diğer şehirleri de dahil bölgesel olarak bütün buradaki statick blokları alalım. Bu static ssg de sonlandıralım ve bütün ssglerden de bu static ssgye bir yol çizelim ve böylelikle benim bölgemde Sinopdaki bir vatadaş Tokata bile gitse, ip değiştirmek zorunda kalmasın. Ne yapsın doğruca zaten aynı static ssg de olduğu için aynı static ipsi ile devam etsin.

2.Seviye Tünelleme Protokolü (L2TP)

L2tp bir layer 2 tunel protokolüdür. Network bulutu üzerinden PPP session için tünel oluşturma amaçlı dizayn edilmiştir.

Farklı kullanıcı PPP Sessionlarının omurga üzerinden farklı ISS'lere taşınmasını sağlar.

Kullanıcılar uzaktaki kendi sunucularına LAC'lar(L2tp Access Concentrator) üzerinden ulaşırlar.

• LAC PPP sessionlarını network bulutu üzerinden l2tp protokolü kullanarak LNS'e (l2tp Network Server) kadar uzatır. PPP Session LNS de authenticate olur.

• Toptan satışlar da (VAE) benzer şekilde broadband servisler için PPP Sessionları LAC dan LNS'e uzatılır.

VPDN (Virtual Private Dial Network) teknolojisi, L2tp protokolüne dayalı olarak kurulmuştur. l2tp ağının kurulması üç unsur gerektirir.

LNS: L2tp ağ sunucusu,l2tp kurumsal tarafındaki vpn hizmet alanı. LAC: L2tp erişim yoğunlaştırıcı, l2tp'nin erişim cihazı Kullanıcı (Client): Çevirmeli ağ istemci

Kuruluş, LAC veya müşteri tarafından başlatılabilir. Tünel kurulum adımları aşağıdaki gibidir.

Adım 1: LAC, SCCRQ mesajını LNS'ye gönderir. Başlat-bağlan-kontrol-istek Adım 2: LNS, SCCRP mesajını LAC'ye gönderir. Başlat-bağlan-kontrol-yanıtla Adım 3: LAC, LNS'ye SCCCN mesajını gönderir. Başlat-bağlan-kontrol-bağlı Adım 4: İletişim tüneli başarıyla kurulur. Adım 5: LAC, LNS'ye ICRQ mesajını gönderir. ICRQ: Gelen Çağrı-Talebi Adım 6: LNS,LAC'ye ICRP mesajını gönderir. ICRP: Gelen Çağrı- Yanıt Adım 7: LAC, ICCN mesajını LNS'ye gönderir. ICCN : Gelen çağrı bağlantılı Adım 8: PPP kimlik doğrulama Adım 9: L2tp tüneli kurulur.

Zte/VPDN LAC Yapılandırma

Bir radius kimlik authentication ve accounting grubu yapılandırılır. Bir etki alanı için bir AAA şablonu yapılandırılır. Etki alanı (domain) oluşturulur. PPPOX şablonu yapılandırılır VCC yapılandırılır. VPDN grup yapılandırılır.

L2tp Terminolojisi

• L2tp Access Concentrator (LAC)

  • domain adı veya policye göre giren PPP sessionları (PPPoA, PPPoE) swithcleyerek tüneller.

  • LL2tp tünel LAC dan LNS'e doğru kurulur.

• L2tp Network Server (LNS)

  • LAC için karşı uç (remote)

  • Giren l2tp tüneller LNS'de sonlandırılır ve kullanıcı ad veya policye göre yapılandırılarak tüneller tarafından taşınan PPP sessionlar LNS'de contexte (Vrf) bağlanır.

• L2tp Tunnel Switch (LTS)

  • Aynı anda hem LAc hem LNS gibi davranır. LTS bir tüneli LNS gibi sonlandırır ve LAC gibi diğer bir tüneli kurar.

  • Giren çoklu tünelleri tek çıkan tünel olarak birleştiren aggregation özelliğini destekler

  • ISP networküne bağlanmak için tüm network topolojisi gibi davranır

Telekom altyapısında LTS kullanmıyoruz. Buradaki biz LAC ve LNS kullanıyoruz. LTS mantığı şu aslında bir tane benim SSG'm var. SSGdeki bir conteximde LAC mantığıyla gidip tünnelliyorum. Öbür conteximde de LNS mantığı yapıp tüneli açıyorum ve bütün işlemi tek bir cihaz üzerinde yapıyorum ama LAC, LNS mantığı ile yapıyorum. Biz bunu telekom da kullanmıyoruz. Biz neyi kullanıyoruz Lac ayrı bir cihaz LNS ise ayrı bir cihaz olarak.

Tünellenmiş Erişim Modeli

PVC'ler Zte ZXR tarafından sonlandırılır. PPP oturumları NSP (Network Service Provider) LNS tarafından sonlandırılır. ZTE BNG erişim şebekesini sağlar; NSP son kullanıcı (abone) bilgilerinin (kullanıcı_adı,şifre,sınırlandırma vs) kontrolünü sağlar.

Protocol Layers

İp her yerde

Ben normal şimdi ttnet müşterisi olsaydım. PTS mantığı ile çalısaydım. LNS mantığı ile çalışmasaydım. İlk girdiğim SSG'den ipmi alacaktım çıkıp gidecektim internet bulutuna. Ama l2tp de ben bütün PPP sessionunu LNS'e kadar tünellediğim için ipyi LNS SSG verdiği için uçtan uca ip adresi dolaşır.

PPP oturumuda müşterinin modeminden, yine en son isp'nin LNS'ine kadar.

PTA olsaydı PPP oturumu ilk Bras'da sonlanacaktı. Sonlandıktan sonra da burada PPP oturumu müşteri modemine kadar gidecekti.

PPPoE ve PPPoA, LAC SSG'ye kadar gelir. Ondan sonra da L2tp tüneli üzerine biner ve LNS'e gider. ATM VC ya da Ethernet Vlan dediğimiz PVC ise modem ile bizim LAC SSG'miz arasında yani PPPoE ve PPPoA dediğimiz ATM ve Etherneti bize ifade ediyor. Müşteri modem ile müşteri pc'si arasında ne var. ya ethernet bağlantı var. ya da usb bir bağlantı var.

Tünellenmiş Erişim Modeli: Çoklu Tünel

Tünellenmiş Erişim modeli, 2 farklı şekilde yapılabilir. Bunlardan ilki tekil tünellemiş erişim modeli bir diğeri ise çoklu tünel. Eğer benim LAC SSG'mden LNS SSG'me giden tünelerden hepsi aynı cihaza gidiyorsa LNS olarak ve aynı hizmet ise bana tek bir tünel yeter. Ben LNS SSG'm ile LAC SSG'm arasında bir tünel kurarım ve o hizmeti bu L2tp tünel üzerinden. Karşıya gönderirim. Fakat çoklu tünel modelinde iş biraz daha karmaşık. Benim birden fazla hizmetim var. Önceki yazılarda benim bir vpop contexim var ve isp'leri oradan gönderiyorum demiştik. Bunun içine bir sürü isp giriyor. Yani birden farklı domain giriyor ve bunların hepsi farklı ISP oldukları için bunların herbirininde kendi LNS'si var. Ne yapıyoruz. Ben LAC SSG'm içindeki vpop contexi içinden türknete ayrı bir l2tp çekiyorum superonline'a ayrı vodofeone'a ayrı vs vs. ve bu context içine giren herbir domainden seçerek kendi LNS ssgsine gidiyor buna da çoklu tünel deniliyor.

Tek bir hizmet tekli tünelleme yaparım tutupda bir sürü tünelleme yapmak zorunda değilim. Niye çünkü örnek olarak jandarma contexini taşıyorum gideceği nokta da 1. girdiği noktada 1. Tek bir tünel ile işimi bitiririm. Ancak ISP'ler için ne yapıyorum birden fazla l2tp tünel kuruyorum. Her birini kendi LNS'ine gönderiyorum. Domainlerini sıralıyorum. Domainlerde kendi buldukları yerden gidiyorlar.

Burada ISP içerisinde interfacelerini oluşturmuşum. IP uzay adresinden ip adreslerini vermişiz. Sonra bunları taşıyacağı vlanları oluşturmuşum.

Niye bunlara ayrı ayrı vlan vermemizin sebebi bir tane fiziksel bağlantım var. Bu fiziksel bağlantı içerisinden bir sürü sanal yol oluşturmuşum.

Sonra her bir müşteri için farklı tünel oluşturmuşum.

Aynı isimden birden fazla var gördüğünüz gibi onları yine grupluyorum tek bir tünel olarak gönderiyorum. Gruplandırma da aşağıdaki resimdeki gibi

Aslında benim için tek bir tünel. Sonra o grubun altına da domain girmişim. l2tp-group name l2tp-elitnet domain olarak ise elitnet gibi. Domain girmemizin sebebi ise müşteri context içerisinde domaini gördü. Contexe geldi. Orada sıkıntı yok. Ama bir baktı bir sürü tünel var. Ben bu group altına domain ismi girmeseydim. PPP sessionu şunu bilemeyekti. Ben bu contexe geldim ama hangi tünele gireceğim. Bir sürü tünel var. Tekli tünel ile çoklu tünel arasındaki fark bu o yüzden ne yapıyoruz. l2tp'lerin altına da domain giriyoruz. Diyoruzki aslında gelen sessiona bak sen vpop contexine geldin ama senin adın şu. Sen git adın ile tünel altına. Karşı uçta da kurulu yani elitnet dediğimiz firmanın kendi ISP'sinde de karşılıklı bunlar kurulu gidiyor doğruca örnek olarak elitnetin kendi LNS SSG'sine.

Bunlarin çoğunun ssg'side yok trafik geçmedikçe para ödemedikleri için telekom konfigurasyonlarını yapıyor. Ama müşteri taşımıyorlar.

show l2tp peer komutu ile baktık

Çoğunluğu sıfır gördüğünüz gibi. Yanlarında 1 ,2 vs olanlar abonesi olanlar.

Örnek olarak doğanın 2000 tane müşteri var. Toplamda ama 4 tane tünele gitmişler. Niye bir çoklu tünel kurup tek bir tünelmiş gibi gösterme ihtiyacı duyuyoruz. Bu bir ihtiyaca göre yapılmış bir şey.

Biz normalde bir tane l2tp tünel üzerinden aslında 65535 tane session yani abone taşıyabilirim. Ama yine de gidiyorum koçnet için 4 tane tünel oluşturuyorum neden. Şöyle bir sorun ile karşılaşırım ben tek bir tünelde gönderirsem. Ben bir l2tp trafiği içindeki tüneli parçalamıyorum. Bu bana şöyle bir sıkıntı oluşturuyor. Benim örnek veriyorum bu cihazda 4 tane uplinkim var. VAE müşterilerim için toplamda 40 gigalık bir uplink kapasitem var. bu da 4 tane 10 gigayı lag yapmışım. Birleştirmişim 40 giga kapasite oluşturmuşum. Şimdi ben eğer tek bir tünel içinden 8000 müşteriyi taşımaya çalışırsam ben bu trafiği bölemeyeceğim için o trafik blok olarak tek bir porta yüklenir. Ben bu 4 porta bölemem trafiği. Örnek veriyorum 8000 müşteri ortalama 1 gigadan trafik yapsa 8000 giga bir trafik yapar ve portumuz sature olabilir. Ama ben bunu 4 tane tünele bölüp de 4 tünel üzerinden gönderirsem , her bir tünele ortalama yaklaşık olarak 8'i 4' bölmüş olup ve 2 gigaya indiririm her bir tünelin trafiğini ve cihaz şu mantık ile çalışır her bir tüneli dengeleyebilmek adına farklı porta atar. Böylelikle ben trafiğimi dengeli kullanmış olurum. Buradan Rx'lere bakabilirsiniz hepsi birbirine yaklaşık. 32-30 vs.Daha efektik olarak uplinklerimi kullanabilirim. o yüzden her bir ISS için birden fazla tünel oluşturup o yüzden grupluyoruz.

Artık networkte trafik çok fazla fakat bu trafiklere birebir tek parçada karşılayacak kartlarımız yok. Bizim network cihazımızın özelliklerinde lag'layarak linkleri toplayabiliriz.

Örnek olarak sol taraftaki SSG sağ taraftaki ise MPLS olsun. SSR tarafında ismi link group mpls tarafında lag ve bng tarafında ise smart group dediğimiz şöyle bir mantık var. Biz normalde benim ssr'ımın trafiği diyelimli 30 giga ama benim herbir portum 10 giga benim bu portlara trafiği dengeli dağıtabilmek için devamlı trafik engineering yapmam lazım işte bilmem kaç gigasını şurdan göndereyim. Bilmem kaç gigasını şurada gönderiyim ona göre herbir porta tanım yapmam gerekir. Fakat bu sanal link dediğimiz lag ya da link group vasıtasıyla şunu yapabiliyoruz. Bu 4 tane portu bir link group altına alıp ve link groupa da bir isim verip mpls tarafında da lag altına alıp diyip bu lag 100ün altına da 4 tane portu atttığımızda sistem şöyle bir mantık çalıştırıyor. Benim için artık fiziksel devre 1in 1i 1in 2si vs. değil lag 100. Benim için artık bu devre lag 100 ama altında 4 tane port var.

lag 101 diye bir link gruop oluştumuşuz 16 porta kadar atama yapabiliyoruz. Burada 10 tane port var benim aslında 10 tane ayrı portum dış dünyaya lag 101 olarak 100 giga olarak gözüküyor ve kendi içinde de cihazların algoritmaları ile de yapmış olduğunuz bazı tanımlar ile trafikleri eşit olarak portlara dağıtıyorum. Trafikleri eşit olarak dağıtabilmesi için bazı parametreler gerekiyor örneğin bir l2tp tünel içindeki trafiği bölme şansı yok sistemin. Tek bir trafik olarak görür. İşte o sebeple ben tutup da tek bir tünel kurarsam ve üstünde de 8 gigalık bir trafik varsa onu buradaki hiçbir porta bölemeyeceği için tek bir portun altına atmak zorunda kalır ve böylelikle satureye gider bu port.

L2tp Terimleri

Lac ile Lns arasında l2tp tüneli vardır.

sh l2tp peer dediğimizde o cihazdaki

sh l2tp peer dediğimizde boş gelmesinin nedeni local contex içerisinde olmamız.

l2tp'yi biz vpop contexi içerisinde kullanıyorduk.

Sadece o müşterinkine bakmak istersek grep ile arayabiliriz.

Gerektiğinde tünelleri clear da edebiliyoruz. İhtiyaç duymamızın nedeni, müşteri isteği ya mecbur kaldığımız zaman clear ederiz. Burada gayet dengeli. Bazen şu olabiliyor. 3 tane tünelde müşteri oluyor diğer tünelde hiç olmuyor. Ya da 3-5 tane session olmuş oluyor. Yani müşteriler tünellerine dengeli dağılmıyor. Bu tarz sorunlarda clear etmemiz gerekiyor.

TTOYS

Telekomun dsl, ve gpon müşterilerini kontrolünü yaptığımız,konfigurasyonunu yaptığımız,takip ettiğimiz arızacılığını yaptığımız arayüz. Tabiki biz SSG'leri buralarla da ilişkilendirmek zorundayız. çünkü ip dağıtan cihazlar ssg olduklarına göre neyi nereye vermesi gerektiğini bilmesi gerekiyor cihazların.

SSG cihazları devreye alınmadan önce, TTOYS(Türk telekom ortak yönetim sistemi ) üzerinden envanter verisinin operatör tarafından elle girilmesi gerekmektedir.

Tüm kartların tipleri ve seri numaraları SEM operasyon ekibi tarafından ttoys envanterine girilir.

LAC-LNS SSG ilişkisi tanımlanır.

SSG tanımlama ve LAC-LNS SSG ilişkisi tanımlama işlemleri tamamlanmadan abone yazdırılması mümkün olmamaktadır.

TTOys ara yüzü ve veri tabanı üzerinde yapılan işlemler dosyadadır.

Normalde biz diyelimli ssg değiştireceğiz. Yani dslamları bir ssgden farklı bir ssgye alacağız. Bunlar normalde tek tek bütün aboneleri elle yazdırmak gibi bir yük çok fazladır. Bunu için ttyos ekranımızda port aktarma diye bir sekmemiz var. Buradan aktarcak olduğumuz eski mevcuttaki yerini aktaracak olduğumuz yeni yerini seçip listele diyip, Listele dedikten sonra da gelen ekrandaki dslamları buraya aktar dediğimizde cihaz toplu olarak o ssgnin o portundaki bütün dslamları yeni ssgdeki yeni portuna ya da aynı ssg de farklı bir portta olabilir. Fark etmez, otomatik olarak sırayla aktarır. Bu işlem porttaki dslam yoğunluğuna göre abone yoğunluğuna göre değişebilir.

Yeni bir dslam devreye aldığımızda şunu yapmamız gerekiyor bu dslamın ssgnin hangi portunda hangi vlan ile çalıştığını biz ttyosa söylememiz gerekiyor. Bolu zte xrs de 9.karta 5.portundan aşağıda user ssg vlanı örnek olarak 100 vlanı diye yazıp tanımla dediğimizde o dslamın artık bu ssgnin bu portundan 100 vlanıyla çalıştığını bilmesi gerekiyorki o CLID dediğimiz yani doğru yerden gelip gelmediğini ttoys bilebilsin diğer türlü biz bu işlemi yapmazsak müşterinin ip alma şansı yok.

XDSL CRM

xDsl CRM ekranımız var. Bu ekran üzerinde yapılan işlemler Static ip tanımlama, Dslam-ssg ilişkisi,ssg domain mapping

Bir müşterinin static ip adresini değiştirebiliyoruz ama bir müşteriye statik ip adresi buradan veremizyoruz önceden veriyorduk. Eskiden static ip adresi ücretli değildi. İlk zamanlar o zamanlar istersek bir tane müşteriye direk static ip adresi de verebiliyorduk. Bazen müşterinin static ip adresi black liste düşebiliyor girdiği sitelerden vs. Çalışamaz duruma geliyor. Bu tarz durumlarda müşterinin static ipsini değiştirebiliyoruz. Mutlaka müşterinin haberi olmak zorunda.

Bir diğeri ise diyelimki SSG değişti,dslamlar farklı ssgye geldi. Aynı ttoysda yaptığımız gibi dslam ssg ilişki güncelleme kısmından dslamlarımızın hangi ssgden çalıştığını yine belirleyebiliyoruz.

SSG domain mapping ekranı;

İlgili domain seçilip, ekle denilerek domain mapping işlemi tamamlanmış olur.

Bu da şunun için gerekiyor bizim toplama noktalarından çalışan alsat müşterilerimizin hangi alsattdan çalıştığını xdsl crm de bizim belirlememiz gerekiyor. Orada da abonenin bağlı olduğu ssg ve yukardaki resimde ssg yazan toplama ssg olmuş oluyor. Oradan da domain seçerek müşterinin domainini o ssgye ilişkilendirmek vasıtasıyla yine müşterimizi o ssg ile ilişkilenmesini sağlıyoruz.

Troubleshooting

show chasis

Şasinin genel durumunu görmek için kullanılan komuttur. Current platform is SE1200 NEBS satırı şasinin tipini gösterir. Takılı olan kartlar için Initialized Flags durumunun YES olması gerekir. Bayraklar (FLAG) yardımı ile aktif trafik kartı, aktif XCRP kartı ve kartın genel durumu hakkında bilgiler bulunur. Takılı olan kartların Installed-type ile Configured-type aynı olması gerekmektedir.

show hardware Cihazın fiziksel durumunu kart bazlı gösteren komuttur. show chasis komutunun çıktısı ile aynı kartların olması beklenir. voltage olarak OK temp olarak Normal olması gerekmektedir.

show hardware detail Cihazın fiziksel durumuna ait detayları port bazlı gösteren komuttur.

Eğer bunlar aynı değilse kartı reload ediyoruz. Kartı reload ettikten sonra bu değerler birbiri ile örtüşüyor.

show system status

Cihazın genel durumunu gösteren komuttur.

show redundancy Cihazın ana kart (XCRP) yedeklilik durumunu gösterir.

show system redundancy

Cihazın ana kartları (XCRP) hakkında donanımsal/yazılımsal bilginin yanı sıra yedeklik durumu ve geçmişine yönelik hata logları dahil detaylı bilgi gösterir.

show port

Cihazın üstünde açılmış olan portları gösteren komuttur. XCRP kartları dışında bütün portların Up olup, olmadığı kontrol edilir. Down olan var ise port altında no shutdown komutu kontrol edilir.

Eğer portu biz aktif etmemiş olsaydık zaten show port diyince gözükmeyecekti.

show port <<kart no >>/<<port no>> detail

Portların fiziksel ve tanımsal detayları ekrana getiren komuttur. Tx ve Rx değerleri yardımı ile fiber kontrolü yapılması sağlanır. Active alarms : None olması gerekmektedir.

Show configuration port <<kart no>>/<<port no>> (uplink port konfiguration kontrolü)

Port konfigurasyonunu ekrana getiren komuttur. SSG ile ilgili sorun tespitinde genellikle /Öncelikle cihazın toplam trafiğinin mpls şebekesine aktarıldığı uplink portlarının (genelde ilk kartların ilk portları) konfigurasonu incelenir.

Porta yapılan konfigurasyonunu görüntülemek istersek bu komutu kullanırız.

show configuration port <<kart no >>/<<port no >> (Abone port konfiguration kontrolü)

Dslam trafiklerinin ssgye taşındıkları portlardır. Genellikle 1-2 ve 7-8 dışındaki slotlara yerleştirilen kartlar üzerinden verilir.

downlik portu olduğu için dowlink de dslam'a gidiyor. Burada dslam konfigurasyonlarını da görebilirsiniz.

show port counter <<kart no / <<port no >> live

İlgili port üzerinden geçen canlı trafiğin incelenmesi için kullanılan komuttur. send bit rate ve recv bir rate satırları incelenir. Send smartedge'den mpls tarafına gönderilen trafiği, receive mpls'den alınan trafiği gösterir. Ekrana dökülen sayılar bit birimindedir. Bunu çevirmek için Bit/8 =byte, byte/1024=kilobytes, kb/1024=megabyte, vs.

show log active fac csm

SSG üzerindeki tüm port ve modüllerdeki belli bir zaman aralığı için gerçekleşen durum değişikliklerini ve anlamları gösteren işlevsel bir komuttur.

show crashfiles

SSG üzerinde port veya process bazlı bir hata sonucu üretilen sistem hata dosyalarıdır. Firma adminleri tarafından açılabilen dosyalar olup, sadece tarih satırından ve isminden hangi zamanda ve hangi port/process ile alakalı problem yaşandığının tespit edilmesi konusunda yardımcı olur. Eski crashfiles dosyaları sistem üzerinde kalabildiğinden hata ayıklama işlemi yapılırken tarihe özellikle dikkat edilmesi gerekir.

show process SSG üzerinde çalışan işlemlerin (process) bellek, zaman, cpu kullanımı, durum gibi bilgilerini gösterir.

show process cpu SSG üzerinde çalışan CPU'nun genel ve processler bazında 5 saniye,1 ve 5 dakikalık kullanım yüzdelik bilgilerini gösterir.

show memory SSG geçici bellek durumunu gösterir.

show disk

SSG dahili ve harici kalıcı bellek birimlerinin durumunu gösterir.

show link-group

Link group altında tanımlı Vlan'ları ve durumlarını gösteren komuttur. Global konfigurasyon olup, context bazlı işlem yapılmaz. Link-group state olarak up durumunda olması gerekmektedir. Bindings satırında ilgili interface adı ve context bilgisinin görülmesi gerekir.

show conf link-group

Link group altına tanımlanmış konfigurasyonu gösteren komuttur. Local-bacbone-1 tanımı cihaza olan erişimizi sağlar.

Lacp aktif değilse portlar birbirlerine trafik dengelemesi yapamazlar. O yüzden lacp'lerin mutlaka link grubu altında aktif olması gerekmektedir.

show lag actor

LACP'nin genel durumunun izlenmesi için kullanılan komuttur. (Link aggregation control protocol: Uplink portlarının tek bir portmuş gibi çalışmasını ve bu portlardaki trafiği dengeli bir şekilde paylaşmasını sağlayan protokoldür.) Link group altında çalışan bütün portlar burada görüntülenebilmektedir.

show log

Sistem tarafından üretilen logları gösteren komuttur. show log | grep "Jul 5" | include "13:4"| include "tunnel"

örneğinde olduğu gibi belli bir tarihe ait belirli kelimeleri içeren daha detaylı log inceleme yapılabilir.

show log | grep port

Olası port up/down durumlarında logların kolay incelenmesi için kullanılan komuttur. Manuel müdahale (admin down) ya da hata kaynaklı (port default) olduğunun tespitinde kullanılır.

show radius server

Authentication (doğrulama) ve accounting (hesaplama) durumlarını gösteren komuttur.

show configuration bgp

İlgil contex altında bgp (border gateway protocol) konfigurasyonunu gösteren komuttur. Context bazlı bgp tanımı yapılmaktadır.

Benim local conteximdeki bgp eğer down olur ise , ben cihaza erişim sağlayamam. Fakat adsl conteximdeki bgp down olursa, müşteriler yine ip alır. Ama gidip trafik bakarsanız trafik göremezsiniz. Çünkü biz o ipleri internet dünyasına bgp ile anons ederiz. Müşteriye ip veririz ama müşteri internette dolanamaz.

show bgp neighbor

İlgili contexin bgp durumunu ve komşuluk bilgisini gösteren komuttur.

Adsl conteximizde bgp konuşturutyoruz çünkü bu contex üzerinden ip adresi dağıtıyoruz. Ama vpop contexinde bgp konuşturarak da bu işi yapabiliriz. Konuşturmadan da yapabiliz. Vpop contexi ispleri tünellediğimiz contexdi. Onlara ip adreslerini biz vermiyoruz.

sh conf bgp all-contexts

Localde var bu erişmek için. Adsl de var. Ssgvpn contexinde var. Staticcontex de olmak zorunda. Toplamalar da yok. Vpopda var.

Vpopda olmak zorunda deği aslında çünkü ip adreslerini ben vermiyorum ama bazı ispler bizim tarafımızda da bgp anonsunun yapılmasını istediği için vpopa da bgp protokolünü işletiyoruz. Normal şartlarda hangi cihazdan ip adresi dağıtıyorsak o cihazda olması yeterlidir.

show configuration ospf

İlgili context altında ospf (open short path first) konfigurasyonunu gösteren komuttur. Context bazlı ospf tanımı yapılabilmektedir.

show configuration acl

Access list altında tanımlı IP'leri gösteren komuttur.

sh ip interface brief

Context altında tanımlı olan interface (sanal port) durumlarını gösteren komuttur.

sh ip pool

İlgili context içinde bulunan ip havuzlarını ve bu havuzların doluluk oranını gösteren komuttur.

unbound == bound edilmemiş demek. Bir interface oluşturmuş ama herhangi bir portla ilişkilendirmemiş.

show l2tp peer

Context altında tanımlı olan l2tp (layer2 tunneling protocol) : 2 katman tünelleme protokolü) devreleini ve durumlarını gösteren komuttur.

show subscribers

İlgili context altında tanımlı olan, ip alan bütün abonelerin gösterimini sağlayan komuttur.

show subscribers all dersek contex bağımsız bütün aboneleri döker

sh subscibers summary all dersek bu cihazdaki bütün müşterileri görebiliriz.

Curcuit == hangi porttan gelmiş.

Vlan id ile de bakabilirin. show subscribers session yazıp sonrasında ise vlan id yazarsak bakabiliriz.

Müşteri ip aldıktan sonra belli bir süre sonra artık log etmeyi bırakır. Çünkü ip adresi almıştır. Seninle devamlı haberleşme ihtiyacı duymaz. Ne zamana kadar müşteri düşüyorsa ya da müşteri senden ip almaya çalışıyorsa o zaman log üretir.

Müşteriyi düşürdük ve loguna tekrar bakalım.

Örnek olarak burada kullanıcı adı geldi eğer gelmemiş olsaydı müşteri kullanıcı adı yazmayı unutmuş ya da yanlış yazıyor bunu burada görebiliyorum. En önemlisi ise müşterinin sorununu bu satırdan anlayabiliyorum.

Şöyle bir şikayet geldi bize bazı müşterilerimiz ip alıyor ama internete çıkamıyor bu tarz durumda arızayı şıkıştırmaya çalışırız. ip aldıkları blok ile ilgili bir sıkıntı olabilir mi ? Müşteri ip adresi almış hangi ip adresini almış 95 li ip adresini almış

Önce bu adresin netwok adresini bir bulalım. Önce gidip bunun bir bloğunu bulalım.

sh ip pool komutu ile buna bakabiliriz.

Müşteri bu bloktan ip adresi alıyormuş. O zaman ben şunu yaparım ping derim. DNS'si pinglerim.

DNS si pingleyebiliyorum sıkıntı yok peki bu blogu source olarak gösterirsem dns'i pingleyebiliyor muyum? 0 networktür 0 kullanamam gateway kullanmak zorundayım.

Ben source gösterip eğer pinglemeyi deniyorsam dnsi artık şunu diyebilirdim bu blokta sorun var. Bu bloktan çalışan hiçbir müşteri ip alır ama sayfa açamaz.