Merhaba,
Bu makalemizde Juniper SRX serisi firewall cihazları üzerinde dual wan interface’ler için routing işlemini nasıl yapacağımızı anlatağım.
Günümüzde bir çok firma birden fazla internet hattı kullanmaktadır. Örnek vermek gerekirse; kullanıcılarımız ADSL üzerinden, sunucularımızda Metro Ethernet veya G.SHDSL vb. hatlar üzerinden internete çıkmaktadır. Tabiki bu senaryolar değişiklikler gösterebilmektedir. Ama amaç aynıdır: Local networkümüzü farklı internet hatları üzerinden dışarı çıkarmak.
Juniper SSG’de bu İşlemi web arayüzünden Source Based Routing ile yapabilmekteyiz. Juniper’ın SRX modellerinde ise bu İşlemi komut satırı ile daha kolay yapabiliriz. Juniper’ın SRX serisinde (SSG’den farklı olarak) Junos IOS kullanılmaktadır. SRX üzerindeki bu işlemi Filter Based Forwarding işlemi ile gerçekleştirebiliriz.
Öncelikle konumuz dışında olmasına rağmen Filter Based Forwarding ayarlamasından önce yapılması gereken işlemleri kısaca yazmak istiyorum.
Internet hatlarımız ve local networkümüz için interface ayarlarını yapıyoruz.
Local networklerimiz için Source Base Nat ayarlarını yapıyoruz.
Static route tanımımızı giriyoruz.
Local networklerimizin internete çıkabilmesi için gerekli policy kurallarını oluşturuyoruz.
Buraya kadar yaptığımız ayarlar ile tüm local networklerimizi tek bir WAN (Internet) hattı üzerinden internete çıkarmış olduk.
Şimdi firewall cihazımıza SSH ile bağlanıp Filter Based Forwarding işlemini yapacağız. Ama önce ben topolojimi kısaca anlatmak istiyorum.
- WAN Interface’lerim
- Interface ge-0/0/0 WAN link ISP-1
- Interface ge-0/0/3 WAN link ISP-2
- Local Interface’lerim
- Interface ge-0/0/7 ISP-2 üzerinden internete çıkarmak istediğim local networküm.
- Interface ge-0/0/8 ISP-1 üzerinden internete çıkarmak istediğim local networküm.
Şimdi firewall cihazımıza SSH ile bağlanıp Filter Based Forwarding tanımımızı oluşturabiliriz:
Açılan ekranda “cli” komutunu yazarak komut ekranına geçeriz.
“Configure” komutu ile Configuration Mode bölümüne geçeriz.
ISP-2 üzerinden internete çıkacak networkümüz için Firewall Filter tanımımızı oluşturuyoruz.
set firewall family inet filter isp-2 (ikinci isp için isim girdik) term 0 from source-address
set firewall family inet filter isp-2 term 0 then routing-instance isp2-router (ikinci isp için router instance ismi girdik)
set firewall family inet filter isp-2 term 1 then accept
ISP-2 üzerinden çıkacak local networkümüz için Routing-Instance tanımımızı oluşturuyoruz:
Set routing-instance isp2-router instance-type forwarding
Set routing-instance isp2-router routing-options static route 0.0.0.0/0 next-hop 213.x.x.x (ikinci isp hattımızın kullandığı public gateway adresini yazıyoruz)
ISP-1 üzerinden internete çıkacak local networklerimiz için gerekli route bilgisini ve ISP-2 için oluşturduğumuz route bilgisini Routing Table içine ekliyoruz:
Set routing-options interface-routes rib-group inet isp2-router
Set routing-options static route 0.0.0.0/0 next-hop 82.x.x.x (birinci isp hattımızın kullandığı public gateway adresini yazıyoruz)
Set routing-options rib-groups isp2-router import-rib [inet.0 isp2-router.inet.0]
Yaptığımız ayarları Commit komutu ile kaydediyoruz.
Şimdi 172.x.x.x interface ge-0/0/3 networkü 213.x.x.x interface ge-0/0/7 üzerinden internete çıkıyor (ISP-2)
192.x.x.x interface ge-0/0/8 networkümüz de 82.x.x.x interface ge-0/0/0 üzerinden internete çıkıyor (ISP-1)
Makalemizde Juniper SRX serisi firewall cihazları üzerinde dual wan interface’ler için routing işleminin nasıl yapılacağını öğrenmiş olduk. Başka bir makalede görüşmek üzere.
Kaynak:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB23300
Merhaba öncelikle makaleniz çok yararlı. Başka bir şey sormak istiyorum. Elimizde srx110 cihazı var. Bunlardan VDSL pots portuna (pt-0/0/0/0) vdsl çıkışı alıyorum. Fe-0/0/0 portuna da başka bir modemden dhcp ile internet çıkışı alabiliyorum. Fakat sadece VDSL portunu kullanıyor.Ben iki interneti local ip ayrımı yapmaksızın tüm switch portlarında kullanmak istiyorum yardımcı olabilir misiniz ?
Teşekkürler