Forum
Merhaba
licy based routing hp on hp 5406zl nasıl yapılır. bir türlü 2 lokasyon arasında yapamadım
hangi adresleri yada portları route yapacaksınız, bağlantıları incelerseniz fikir verecektir.
http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c03323396&sp4ts.oid=4179963
http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c03205292&sp4ts.oid=4177501
http://www.networktasks.co.uk/environments/hp/provision/policy-based-routing-pbr
yapım şu şekilde (aralarında ttvpn var
merkez istanbul
şube ankara
internete tüm şubeler check pointten çıkıyor. biz misafirleri internete çıkarmak için bir yazılım ve cihaz aldık. kimlik doğrulama yapıyor.
merkezde bunu yaptık ama şubeden gelenler için yapaadık. trace yapınca şube tarafından internete buradaki hp 5406 cihaza gelyor , oradan
misafirlerin internte çıkması gereken cihaza gelmeleri gerekirken direk check pointte geliyor. aslında . bu cihazın ipsi 20.18.5.6.
aşağıdaki makale güzel ama ben bizim sisteme uyarlayamadım
http://www.networktasks.co.uk/environments/hp/provision/policy-based-routing-pbr
şube miisafir subnet 20.18.4.0
merkez misafir subnet. 20.17.4.0
bizim yapmış olduğumuz yapı aşağıdakş gibi. bu merkez backbone de yaptık
module 2 type j9536a
class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6
action interface null
exit
ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255
ip prefix-list "ankara" seq 5 permit 20.18.4.0 255.255.255.0 ge 24 le 24
TTVPN, backbone üzerindeki bir interface'e takılı sanırım, örneğin BB int. 24 diyelim. bu interface'in bir ip adresi var muhtemelen,
networkte routingleriniz şube networküne giderken bu interface'in karşısındaki adrese gidiyordur. (checkpointe uğramıyor)
peki ama misafir interneti için aldığınız cihaz nasıl bağlı?
hangi interface adresleri var, örneğin lan, wan ve management mı?
o zaman lan portu wifi controllerden fiziksel olarak geliyor, wan portu da firewalla fiziksel olarak gidiyordur.
siz management için 20.18.5.6 portunu kullanıyorsunuzdur.
misafir ağları için cihazlar genellikle şöyle yapılandırılır; lokal ağınızdan izole olması için wifi controller üzerinden ikinci bir portla bu cihaza girip bu cihazın ikinci interface'i üzerinden firewall'un lan portundan farklı bir portuna gider.
yani siz bu guest ağına lokal ağınızdan doğrudan erişemezsiniz çünkü firewall üzerine giriyor. siz sadece management portuna erişiyorda olabilirsiniz.
yapınız bu şekildeyse routingi firewall üzerinden yapacaksınız ve policy yazacaksınız. çünkü guest ağınız farklı bir lan gibi hareket ediyor bu nedenle firewall üzerinden yapılması lazım gibi.
yapıyı doğru mu anladım bilemiyorum.
ayrıca aşağıdaki haliyle bir yanlışlık var galiba,
class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255 yukarıdaki class da bu network için tanımlama yaptık, 0.0.0.0 dedik, bundan farklı bir networke daha mı erişecek o zaman o network adresini yazacağız.
exit
mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6 bu route ip mi?
action interface null
exit
ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255
linkte 192.168.10.0 networkü internete çıkmak için;