Forum

policy based routin...
 
Bildirimler
Hepsini Temizle

policy based routing hp on hp 5406zl nasıl yapılır

5 Yazılar
2 Üyeler
0 Reactions
850 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhaba 

licy based routing hp on hp 5406zl nasıl yapılır. bir türlü 2 lokasyon arasında yapamadım

 
Gönderildi : 31/05/2016 20:51

(@ZaferSEN)
Gönderiler: 213
Estimable Member

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

yapım şu şekilde (aralarında ttvpn var

merkez istanbul

şube ankara

internete tüm şubeler check pointten çıkıyor. biz misafirleri internete çıkarmak için bir yazılım ve cihaz aldık. kimlik doğrulama yapıyor.

merkezde bunu yaptık ama şubeden gelenler için yapaadık. trace yapınca şube tarafından internete buradaki hp 5406 cihaza gelyor , oradan

misafirlerin internte çıkması gereken cihaza gelmeleri gerekirken direk check pointte geliyor. aslında . bu cihazın ipsi 20.18.5.6.

 

aşağıdaki makale güzel ama ben bizim sisteme uyarlayamadım

http://www.networktasks.co.uk/environments/hp/provision/policy-based-routing-pbr

 

şube miisafir subnet 20.18.4.0 

merkez misafir subnet. 20.17.4.0

 

 

 

bizim yapmış olduğumuz yapı aşağıdakş gibi. bu merkez backbone de yaptık

module 2 type j9536a
class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6
action interface null
exit
ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255

ip prefix-list "ankara" seq 5 permit 20.18.4.0 255.255.255.0 ge 24 le 24

 

 
Gönderildi : 01/06/2016 16:20

(@ZaferSEN)
Gönderiler: 213
Estimable Member
 

TTVPN, backbone üzerindeki bir interface'e takılı sanırım, örneğin BB int. 24 diyelim. bu interface'in bir ip adresi var muhtemelen,

networkte routingleriniz şube networküne giderken bu interface'in karşısındaki adrese gidiyordur. (checkpointe uğramıyor)

 

peki ama misafir interneti için aldığınız cihaz nasıl bağlı?

hangi interface adresleri var, örneğin lan, wan ve management mı?

o zaman lan portu wifi controllerden fiziksel olarak geliyor, wan portu da firewalla fiziksel olarak gidiyordur.

siz management için 20.18.5.6 portunu kullanıyorsunuzdur.

 

misafir ağları için cihazlar genellikle şöyle yapılandırılır; lokal ağınızdan izole olması için wifi controller üzerinden ikinci bir portla bu cihaza girip bu cihazın ikinci interface'i üzerinden firewall'un lan portundan farklı bir portuna gider.

yani siz bu guest ağına lokal ağınızdan doğrudan erişemezsiniz çünkü firewall üzerine giriyor. siz sadece management portuna erişiyorda olabilirsiniz.

yapınız bu şekildeyse routingi firewall üzerinden yapacaksınız ve policy yazacaksınız. çünkü guest ağınız farklı bir lan gibi hareket ediyor bu nedenle firewall üzerinden yapılması lazım gibi.

yapıyı doğru mu anladım bilemiyorum.

 

 
Gönderildi : 01/06/2016 19:54

(@ZaferSEN)
Gönderiler: 213
Estimable Member
 

ayrıca aşağıdaki haliyle bir yanlışlık var galiba,

class ipv4 "ankarapbr"
10 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255
exit

class ipv4 "clas-ankara-10!80"
5 match ip 20.18.4.0 0.0.0.255 0.0.0.0 255.255.255.255 yukarıdaki class da bu network için tanımlama yaptık, 0.0.0.0 dedik, bundan farklı bir networke daha mı erişecek o zaman o network adresini yazacağız.
exit

mirror 1 port B8
policy pbr "ankarapbr1"
10 class ipv4 "ankarapbr"
action ip next-hop 20.17.4.6 bu route ip mi?
action interface null
exit

ip access-list standard "abkara"
10 permit 20.18.4.0 0.0.0.255

 

 

linkte 192.168.10.0 networkü internete çıkmak için;

 

 class ipv4 "CLASS-192.168-INTERNET-BREAKOUT"
     5 match ip 192.168.10.0 0.0.0.255 0.0.0.0 255.255.255.255
   exit
 
policy pbr "POLICY-INTERNET-BREAKOUT"
6 class ipv4 "CLASS-192.168-INTERNET-BREAKOUT"

      action ip next-hop 1.1.1.1 (linkteki firewall interface ip adresi)
      exit
 
1.1.1.1 yolunu kullansın.
 
10.0.0.0 networküne gitmek için;
 
class ipv4 "CLASS-192.168-LOCAL-BREAKOUT"

     5 match ip 192.168.10.0 0.0.0.255 10.0.0.0 0.0.0.255
   exit
policy pbr "POLICY-INTERNET-BREAKOUT"
     5 class ipv4 "CLASS-192.168-LOCAL-BREAKOUT"
      action ip next-hop 2.2.2.1 (linkteki 2. router interface adresi)
      exit
 
2.2.2.1 yolunu kullansın demiş ama buradaki hop adreslere dikkat edin.
 
Gönderildi : 01/06/2016 20:15

Paylaş: