Forum

SSG140 - Metro ethe...
 
Bildirimler
Hepsini Temizle

SSG140 - Metro ethetnet

11 Yazılar
3 Üyeler
0 Reactions
527 Görüntüleme
(@odanir)
Gönderiler: 22
Eminent Member
Konu başlatıcı
 


Arkadaşlar Juniter ssg140 ile ilgili bikaç soru sormak istiyorum,


 Lokasyonda Metro Ethernet mevcut telekom uç switch üzerinde 5 port aktif ve bu portlar;


Port 1 :Mail server       Port 2 : Firewall (iptables)Proxy server      Port 3 : Tel. Santrali        Port 4 : Linksys PAP2T         Port 5 : Linksys PAP2T


Port 3  4  5  Santral ile alakalı ve destek veren firmanın sorumluluğunda ayrıca Networkle de bi alakası yok. Yanlız Mail server ve Firewall + proxy suucularının dış bacakları direk fiber uç switch te. Elimde SSG140 var ve bunu kullanmak istiyorum,


Daha önce Cisco Asa5510 kullanmıştım ve o yapıda fiber uç switch ten tek port aktifti ve asa5510 a tek porttan giriş yapıyorduk sonrada ip bloğunu cihaza bu tek port üzerinden girebiliyor ve iç network teki sunuculara istediğimiz dış ip yi yönlendirebiliyorduk.


Eminim bunlar SSG-140 ilede yapılıyordur, ip bloğunu tek port üzerinden ssg140 a nasıl girerim. Birde Tek porttan değilde ip leri ayrı portlardan (Port 1 ve port 2 yi ayrı portlardan ssg 140 a girmek ve proxy ve mail server in dış bacaklarınıda ssg-140 a bağlama gibi)


address 88.xxx.xxx.xxx


netmask 255.255.255.248


network 88.xxx.xxx.xxx


broadcast 88.xxx.xxx.xxx


gateway 88.xxx.xxx.xxx


bu interface ayarlarını girecek bölümü bulamadım.

 
Gönderildi : 23/01/2009 18:06

(@nezihk)
Gönderiler: 115
Estimable Member
 

Network menusunün altında interfaces oluşturcaksın.

 
Gönderildi : 23/01/2009 18:53

(@saitcinar)
Gönderiler: 195
Estimable Member
 

merhaba ssg 140 ın firmware ini söyleseydiniz biraz daha kolay olurdu.:)


eğer cihazınızı yeni aldıysanız firmware i 6.x.x ile başlııyordur.


ssg 140 da 10 adet port bulunmakta.(ethernet 0/0 -- 0/9)


default olarak Untrust bacağı ethernet 0/2 dedir.


Network > Interfaces (List) diyorsunuz: Ethernet 0/2 yi edit ediyorsunuz. telekomun size verdiği dış bacak ip adresini buraya yazıyorsunuz.


ssg 140 da default olarak DMZ bacağı ethernet0/1 dir


isterseniz DMZ ip bloğunuzu buraya tanımlıyorsunuz.


telekomun size verdiği dmz ip bloğunun sizin metro ethernet dış bacağına route edilmesi gerekiyor.


Network > Routing > Routing Entries: bölümüne gelip;new demelisiniz


buradan da, internete çıkış (default route ) yazmalısınız. gateway ip adresini de burda kullanıyorsunuz.


umarım sorularınızın cevabını almış olursunuz.


 


 


 


 

 
Gönderildi : 24/01/2009 15:25

(@odanir)
Gönderiler: 22
Eminent Member
Konu başlatıcı
 

Sait bey firmware versiyonu 6.x.x söylediğiniz gibi 10 port bulunuyor. Bahsettiğiniz gibi Network sekmesi altında interface bölümüne girerek default untrast bacağı olan 0/2 yi edit leyerek dış ip yi ve 255.255.255.248 netmask ı girdim Fakat sonraki adımda Routing sekmesi altında Destination , Source , Source interface , MCast Routing , PBR , Virtual Routers başlıkları bulunuyor.Routing Entries i göremedim.


Birde uç switch ten mail server a giden diğer bir data kablosu daha var ip si farklı onu 0/3 portunu untrast tanımlayarak girmeye çalışınca hata veriyor.

 
Gönderildi : 26/01/2009 11:08

(@saitcinar)
Gönderiler: 195
Estimable Member
 

merhaba


işlerin yoğunluğundan dolayı biraz geç yazdım.


Destination click'lendiğingde dediğim path oluşuyor. --- > (Network > Routing > Routing Entries) burada new diyeceksiniz.(trust-vr)


burada default route yazacaksınız.


yalnız anlamadığım şu: siz 8 adet ip satın aldınız. bunu dmz için almadınız mı acaba? yani telekom size zaten 30 lu bloktan bir ip adresi verecek.


birinci ip adresini kendi untrust interface'inize ikinci ip adresini de default route olarak kullanacaksınız.. lütfen burayı netleştirir misiniz? 


 


 


 

 
Gönderildi : 30/01/2009 01:34

(@odanir)
Gönderiler: 22
Eminent Member
Konu başlatıcı
 

Sait bey tekrar merhaba,


Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.













IP/NetmaskGatewayInterfaceProtocolPreferenceMetricVsysConfigure


new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var


       address 88.255.xx.xx


       netmask 255.255.255.248


       network 88.255.xx.xx


       broadcast 88.255.xx.xx


       gateway 88.255.xx.xx


bu girdilere göre Broadcast  ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.


Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.

 
Gönderildi : 02/02/2009 11:46

(@saitcinar)
Gönderiler: 195
Estimable Member
 


Sait bey tekrar merhaba,


Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.













IP/NetmaskGatewayInterfaceProtocolPreferenceMetricVsysConfigure


new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var


       address 88.255.xx.xx


       netmask 255.255.255.248


       network 88.255.xx.xx


       broadcast 88.255.xx.xx


       gateway 88.255.xx.xx


bu girdilere göre Broadcast  ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.


Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.



merhaba,


sorularınıza tersten başlıyorum


şunu söylemekte yarar var. 8 tane ip adresini DMZ de konumlandırmak istediğiniz server lara vermeniz mantıklı olandır. bu iki tane server olabilir 3 olabilir,, hepsini kullanmak zorunda değilsiniz tabii ki..


ikinci olarak; metro ethernet aldığınız zaman telekom size bir dış ip adresi verecektir. yani subneti /30 olan yada 255.255.255.252 olan.


 genel olarak söylüyorum 30 lu ip bloğunun ilkini juniper firewall un 0/2 ethernetine veriyorsunuz. ayarlar şöyle yapılıyor:


ethernet0/2 edit edilir. IP Address / Netmask :: telekomun internete çıkışınız için verdiği 30 lu bloğun ilk ip sini buraya yazıyorsunuz.


mesela: 88.24.44.1 / 30  manageble opsiyonunu aktif edebilirsiniz. interface mode: NAT/Route size kalmış.. sizin için hangisi uygunsa seçebilirsiniz. default route da da belirttiğiniz gibi trust-vr  ve new diyorsunuz.


gateway ip adress: telekomun gateway olarak size bildirdiği ip adresini kullanıyorsunuz. yani benim yazdığım ip örneğine göre:88.24.44.2


IP Address/Netmask: 0.0.0.0 / 0   --- default route


gateway radyo iconu seçilir.


interface combo box dan : ethernet 0/2 seçilir.


gateway ip adress: 88.24.44.2


permanent: aktif edilir.


başkaca birşey gerek kalmadı.. OK


geldik satın aldığınız 8 bloklu ip adresi aralığının ayarlanmasına. diyelim ki burada iki tane internete hizmet verecek ftp ve web server ınız var.


diğerlerini de ihtiyaç oldukça kullanacaksınız diyelim.


şimdi sizin burda iki seçeneğiniz var. birincisi juniper firewall da  MIP yaparak dışardan gelen isteklerin iç networkünüzde ki bir server'a ulaşması.(cisco ASA da uyguladığınız gibi)


yok efendim ben dışardan gelen istekleri local networküme almam derseniz ikinci seçeneğiniz var. bu da DMZ zone unu kullanmanız demektir.


DMZ için default interface ssg 140 da ethernet0/1 dir. bunu editliyorsunuz.


IP Address / Netmask: telekomdan aldığınız 8 li ip bloğu şöyle olsun. 88.34.27.36/29 yada  diğer gösterim tarzıyla 255.255.255.248 


bunu ethernet 0/1 editlenerek: şöyle veriniz. IP Address / Netmask: 88.34.27.37/29.. bu interface ait ip adresi oldu.


serverlarınızdan birinin ip adresini beraber yapalım şimdi, benim verdiğim ip aralığına göre: ftp server tcp/ip :


IP Address: 88.34.27.38


subnet: 255.255.255.248


gateway: 88.34.27.37


policy tanımlayarak bu ip adreslerine doğru istediğiniz servisler için izin tanımlayabilirsiniz.


yani: from unturst to DMZ : mesela FTP servisine izin verelim.


mail server için , web server için de aynı yolları deniyorsunuz..


bu çok önemli;


telekom, sizin dış bacağınıza doğru routing' leri tanımladıysa; artık serverlarınıza internetten ulaşılabileceksiniz.


iyi çalışmalar diliyorum.


 

 
Gönderildi : 03/02/2009 02:08

(@odanir)
Gönderiler: 22
Eminent Member
Konu başlatıcı
 

Sait bey merhaba,


 Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.


Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.


Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.


 

 
Gönderildi : 06/02/2009 17:01

(@saitcinar)
Gönderiler: 195
Estimable Member
 


Sait bey merhaba,


 Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.


Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.


Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.


 



mevcut yapınızı bozmayacaksanız ve bir ip planlaması istemiyorsanız ssg 140 sistemini transparent mode de çalıştırmanız gerekecek.


transparent mode'de çalışırken layer2 switch gibi davranacak ayrıca zone'lar arası trafiğide kontrol edebileceksiniz.


transparent mode için;


layer2 zone oluşturursunuz yada mevcut v1-trust v1-untrust zone'larını kullanabilirsiniz.


ssg üzerinde hangi interface leri kullanacaksanız o interface leri L2 zone'a atıyorsunuz


layer 2 zone lar arası policy oluşturuyorsunuz.


 iyi çalışmalar diliyorum.


http://kb.juniper.net/index?page=content&id=KB4160&actp=search&searchid=1233944290719


 

 
Gönderildi : 06/02/2009 23:35

(@odanir)
Gönderiler: 22
Eminent Member
Konu başlatıcı
 

Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.


iyi çalışmalar.

 
Gönderildi : 09/02/2009 11:31

(@saitcinar)
Gönderiler: 195
Estimable Member
 


Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.


iyi çalışmalar.



umarım faydalı olabilmişimdir.


saygılar

 
Gönderildi : 10/02/2009 02:52

Paylaş: