policy based routing hp on hp 5406zl nasıl yapılır

hangi adresleri yada portları route yapacaksınız, bağlantıları incelerseniz fikir verecektir.

 

http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c03323396&sp4ts.oid=4179963

 

http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c03205292&sp4ts.oid=4177501

 

http://www.networktasks.co.uk/environments/hp/provision/policy-based-routing-pbr

yapım şu şekilde (aralarında ttvpn var

merkez istanbul

şube ankara

internete tüm şubeler check pointten çıkıyor. biz misafirleri internete çıkarmak için bir yazılım ve cihaz aldık. kimlik doğrulama yapıyor.

merkezde bunu yaptık ama şubeden gelenler için yapaadık. trace yapınca şube tarafından internete buradaki hp 5406 cihaza gelyor , oradan

misafirlerin internte çıkması gereken cihaza gelmeleri gerekirken direk check pointte geliyor. aslında . bu cihazın ipsi 20.18.5.6.

 

aşağıdaki makale güzel ama ben bizim sisteme uyarlayamadım

http://www.networktasks.co.uk/environments/hp/provision/policy-based-routing-pbr

 

şube miisafir subnet 20.18.4.0 

merkez misafir subnet. 20.17.4.0

 

 

 

bizim yapmış olduğumuz yapı aşağıdakş gibi. bu merkez backbone de yaptık

module 2 type j9536a
class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6
action interface null
exit
ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255

ip prefix-list "ankara" seq 5 permit 20.18.4.0 255.255.255.0 ge 24 le 24

 

TTVPN, backbone üzerindeki bir interface'e takılı sanırım, örneğin BB int. 24 diyelim. bu interface'in bir ip adresi var muhtemelen,

networkte routingleriniz şube networküne giderken bu interface'in karşısındaki adrese gidiyordur. (checkpointe uğramıyor)

 

peki ama misafir interneti için aldığınız cihaz nasıl bağlı?

hangi interface adresleri var, örneğin lan, wan ve management mı?

o zaman lan portu wifi controllerden fiziksel olarak geliyor, wan portu da firewalla fiziksel olarak gidiyordur.

siz management için 20.18.5.6 portunu kullanıyorsunuzdur.

 

misafir ağları için cihazlar genellikle şöyle yapılandırılır; lokal ağınızdan izole olması için wifi controller üzerinden ikinci bir portla bu cihaza girip bu cihazın ikinci interface'i üzerinden firewall'un lan portundan farklı bir portuna gider.

yani siz bu guest ağına lokal ağınızdan doğrudan erişemezsiniz çünkü firewall üzerine giriyor. siz sadece management portuna erişiyorda olabilirsiniz.

yapınız bu şekildeyse routingi firewall üzerinden yapacaksınız ve policy yazacaksınız. çünkü guest ağınız farklı bir lan gibi hareket ediyor bu nedenle firewall üzerinden yapılması lazım gibi.

yapıyı doğru mu anladım bilemiyorum.

 

ayrıca aşağıdaki haliyle bir yanlışlık var galiba,

class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit

class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255 yukarıdaki class da bu network için tanımlama yaptık, 0.0.0.0 dedik, bundan farklı bir networke daha mı erişecek o zaman o network adresini yazacağız.
exit

mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6 bu route ip mi?
action interface null
exit

ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255

 

 

linkte 192.168.10.0 networkü internete çıkmak için;