Juniper Firewall’da TRACK IP Uygulaması
Juniper Firewall’da TRACK IP uygulamasının konfigürasyonunu ve işleyeşi hakkında kısa bir bilgi verelim.
Senaryomuzda; Şirketinizin dışarıya açılan en az iki WAN hattının olduğunu varsayarak konuya başlayalım.
Track IP: Firewall tarafından düzenli ping atılarak hedef adresin ulaşılabilir olup-olmadığını denetler. Bu opsiyon aktif edildiğinde, hedef adrese ulaşılamıyor
ise, Track ip ilgili interface’i “down” konumuna getirir ve tabii ki “routing tablonuz” da buna göre güncellenir.
Senaryo:
Local Network de bulunan kullanıcı internete çıkmak istediğinde IP paket Switch’e gider. IP Paketi Switch’in Default Route’ına ( 192.168.1.250) Juniper Firewall’a ulaşır. Juniper Firewall IP Paketini Telekomun Gateway’ine gönderir. Eğer Firewall 10.1.1.2 ye ulaşamıyorsa dahi routing tablosunda bir değişiklik olmayacaktır.
Sebep olarak, Interface sürekli “up” konumunda kalacağından; routing tablosu ve default route değişmiyor.
“Track IP” aktif edilerek, interface fiziksel olarak “up” durumunda olsa bile, interface tetiklenerek “down” moduna geçer. Bu durumda Routing Tablosunda “metric” ve “preference” değeri daha yüksek olan “static route” aktif olur. Diğer sistemlerde olduğu gibi, -Cisco vb.- metric değeri en düşük/küçük olan, en önceliklidir.
Bunları yapmakta ki amacınız, 10 Mbps’lik hattınız gittiğinde, 2Mbps değerinde ki hattınızın otomatik olarak devreye geçmesi ve şirketin internete bağlantısının sürekliliğini, yedekliliğini gerçekleştirmiş olmanızdır.
Enable Track IP: (Track IP özelliğinin aktif edilmesi)
denilir.
“Track IP” enable edilir.
Threshold ve Weight değerleri verilir.
10 Mbit’lik hattımızın “Next Hop Gateway” ip adresi 10.1.1.2 olduğu için bu adresi statik olarak ekledik. Burada dikkat etmeniz gereken önemli bir şeyden bahsedeyim. Default route network yöneticisi tarafından statik olarak eklenmediyse, dinamik mode seçilmelidir.(aşağıda ki resimler de görüldüğü gibi) Çünkü telekomdan aldığınız IP dinamik ise her an değişebilir J
Add dedikten sonra Track IP ile ilgili log mesajlarına bakıp, durumu biraz daha irdeleyebilirsiniz.
Aşağıda ki kayıtlar, Track IP olayının başarılı olduğunu gösteriyor.
Track IP başarısız olduğunda; aşağıda ki şekilde hata verir.
Bu hatayı siz syslog server’a göndertip filtrelerseniz internetinizin ne sıklıkla koptuğunu kayıt altında tutmuş olursunuz.
Track IP nin konfigüre edilmesini bitirdikten sonra, “routing tablonuzu” senaryoya göre ayarlamak kaldı.
denilir.
Default route için 2 Mbps hattına ait olan Firewall IP adresi verilir. 192.168.1.244
OK dedikten sonra, sisteminiz aşağıda ki gibi routing tablosunu yenilemiş olacak.
Aşağıda ki resme dikkat ettiğinizde eklenen yeni routing’in aktif olmadığını göreceksiniz.
Hattınız müsait olduğunda internet bağlantınızı kopararak testlerinizi mutlaka yapınız.
Yukarıda mevcut olan durum değişerek sistem otomatik olarak sizin “route tablonuzu” değiştirip aşağıda ki hale dönüştürecektir.
Bu düzenlemeden sonra, paketlerimiz 192.168.1.244 yolunu kullanarak internete çıkar. Bu işin en güzel tarafı ise, hattınızın yedek hat bant genişliği ana hattınıza ne kadar yakınsa internet kesintileriniz o kadar az fark edilir olacaktır.
İkinci bir güzel tarafı ise, network topolojinizde herhangi bir değişiklik yapmamanız.
Üçüncüsü ise şirketin internet erişiminin sizinle kesintisiz devam ettiriliyor olması.
Zevkli Çalışmalar.