Güvenlik

Juniper Policy Base Routing


Türkiye’deki internet yüksek data hızlarında pahalı oluşu ve her noktada yüksek hız olmayışından dolayı kurumlar 2 veya daha fazla ADSL hattını çektirip bunların üzerinden interneti yönetmeye sürüklüyor. Hatta ADSL hatlarının E-mail trafiği için uygun olmadığından dolayı ADSL ve kurumsal hata sahip olma gibi durumlar ortaya çıkıyor.Bu tip senoryalarda çektirdiğimiz hatları tam anlamıyla kullanım amacı önemli boyutlara ulaşıyor. 2 veya daha fazla ADSL hattı çektirip bunların birini aktiv ve diğerleri pasif tutmak diğer hatlara ödenen ücretleri akıp gitmesi ve internet hızını artıramamız boyutuna ulaşmakta. Bu gibi durumlar Policy base Routing kullanıp hatlarımızdan istediğimiz gibi faydalanmaktayız. Sizlere Juniper üzerinde Policy base Routing nasıl yapılır açıklayacağım. Anlatıma geçmeden önce policy base routing ne amaçla kullanılır basitçe aktaracağım. Kullandığımız internet trafiğini tek gateway kullanarak örneğin HTTP trafiğimizi bir hattan çıkartıp E-mail (smtp ve pop3) trafiğimizi diğer hattan çıkartabiliriz.


Juniper üzerindeki konfigurasyonu,


image001


Yukarıda gördüğümüz gibi Juniper WebUI’den Network>Routing>PBR>Extended ACL sekmesine geliyoruz.


Fig.1


image002


Senaryomuza gore 2 farklı networkumuz var ve bu iki network farklı lokasyonlarda fakat 2 networkde elimizdeki firewall üzerinden internete çıkıyor uzaktaki network firewallımıza Point to Point ile geliyor.Bunlar için bir Extended access list sonrasında internete yönlendireceğimiz HTTP , DNS için ayrı bir hat ve Pop3,SMTP için farklı bir hattımız mevcut. Bunları 3 farklı kategoride düşünelim ve bunlara ID olarak 10,20,30 vereceğiz. ID 10 için verdiğimiz bölüme bir rule yazıyorum ve 192.168.10.0/24 den 192.168.16.0/24 şeklinde yazıyorum. Sonrasında ID 20 ye geçiyorum ve networklerim için HTTP,DNS rule’ları oluşturuyorum. ID 30 da ise networklerim için Pop3 ve SMTP protokolu için rule yazıyorum.


Fig.2 Network > Routing > PBR > Match Group List



image003



Figure 1 de oluşturduğum kurallar için Match group belirlemek zorundayım ve sırasıyla Match group olarak Borusan(e-mail trafiğimi yönlendireceğim hat) veriyorum ve bu match group Fig.1’de yazdığım ID 30 u kullansın diyorum, sonrasında ise ADSL groupu(http,DNS I yönlendireceğim trafik) belirliyorum bunada Fig.1’deki ID 20 yi kullanması için 20 olarak tanımlıyorum. En sonra olarak uzaktaki internetini yönettiğim network için bir match group oluşturup ID olarak 10’u belirtiyorum.


Fig.3 – Network > Routing > PBR > Action Group List



image004



Fig.1 de access listimi belirleyip, Fig.2 dede bunları birer gruba atadım, şimdi ise bu atadığım gruplar için action grup oluşturacağım bu action gruplarında ise bu grupları hangi hattımı kullanacığımı belirtiyorum. ADSL grubum için action grup olarak toadsl ismini veriyorum ve firewallım üzerindeki ADSL gateway IP’mi belirtiyorum, uzak noktadaki networkum için Point to Point kullandığım hattını gateway belirtiyorum. Son olarakta Pop3,SMTP trafiğini yönlendirceğim borusan hattımın gatewayini tanımlıyorum.


Fig.4 – Network > Routing > PBR > Policy List



image005



Kısaca yaptıklarımıza değinirsek, Access listler oluşturdum ve bu acces listleri grupları atadım, bu grupları ise hangi gateway kullanacığını belirttim. Şimdide adımımızda ise bunlar için bir policy yazacağım. Policy ismine s-traffic veriyorum ve sırasıyla 1,2,3 adet grupu Adsl olan action olarak toadsl uygulasın şeklinde policyimi belirliyorum.


Fig.5 – Network > Routing > PBR > Policy Binding



image006



En son yapmamız gereken ise bu oluştuğurduğum policy’yi kullanacağım Zone üzerine atamak, Trust zone’nunda uygulayacağım için Policy name N/A olan sekmeye basıp s-traffic ü atıyorum. Artık networkumden Pop3,SMTP çıkıcak olan kullanıcılarım Borusan internet hattımı, DNS,HTTP çıkıcak olan kullanıcılar ADSL hattımı ve karşıki networkume gidicek olan kullanıcılar ise Point to Point hattımı kullanacaklardır.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu