Juniper PBR ( Policy Based Routing)
Juniper SSG ve Netscreen Firewall
Juniper SSG ve Netscreen Firewall ürünlerinde birde fazla wan bağlantısı kullanılarak yedekli ve esnek bir yapı kurmak mümkündür. Örneğin bir firma mail trafiği ya da kritik uygulamaları g.shdsl ya da leased-line gibi görece yüksek maliyetli wan bağlantısı üzerinden gerçekleştirirken, daha az öneme sahip olan kullanıcıların internete çıkması için ucuz bir bağlantı olan adsl kullanabilir. Cisco ürünlerde route-map ile yapılan işlem Juniper Firewall ürünlerinde PBR (Policy-Based Routing) ile yapılmaktadır.
Konfigürasyon Açıklaması
set vrouter trust-vr -> trust zone’a geçiş
set access-list extended 1 dst-port 110-110 protocol tcp entry 2 -> destination port tcp:110 için yazılan access-list {entry 1} 2. satıra yazıldığını belirtir.
set match-group name http_traffic -> class-map oluşuturulur
set match-group http_traffic ext-acl 5 match-entry 10 -> class-map access-list ile match edilir.
set action-group name route_untrust -> class-map’in kullanımı için etki grubu oluşturulur
set action-group route_untrust next-interface untrust next-hop 192.168.1.1 action-entry 10 -> etki grubu için next-hop ve next-interface belirtilir.
set pbr policy name trust-policy -> policy oluşturulur.
set pbr policy trust-policy match-group http_traffic action-group route_untrust 10 -> policy için class-map ile etki grubunu eşleştirir.
set pbr trust-policy -> policy aktif hale getirilir.
exit
set interface trust pbr -> policy interface’e uygulanır
Yukarıdaki ekran çıktısında policy “NULL” seçilirse PBR devreye alınmaz. “mail” seçilirse mail PBR’I devreye alınarak smtp ve pop3 trafiği için next-hop 192.168.1.1 olur. “internet” seçilirse tüm trafik için next-hop 192.168.1.1 olmaktadır. Mevcut örnekte local network için default route ADSL olup PBR ile mail trafiği ya da ADSL down olması durumunda tüm trafiğin ikinci hat üzerinden çıkması amaçlanmıştır.
Not: PBR ScreenOS version 5.4 ve üzeri desteklemektedir.
Juniper Firewall’da yukarıda anlatılan konfigürasyon Cisco ürünlerinde aşağıdaki gibidir.
ip access-list extended internet
permit ip any any
ip access-list extended mail
permit tcp any any eq smtp
permit tcp any any eq pop3
route-map mail permit 10
match ip address mail
set ip next-hop 192.168.1.1
!
route-map internet_yedek permit 10
match ip address internet
set ip next-hop 192.168.1.1
!
interface FastEthernet0
ip policy route-map mail ya da ip policy route-map internet_yedek
Bu yazıyı beğendiniz mi?
13 Temmuz 2010, 14:08
selam kardeş bu örnek çalışmıyor. denedim. iki wan hattım var ,http bir interfaceden mailller bir interface den cıkmasını istiyorum.
19 Temmuz 2010, 15:20
Kemal Bey,
Yukarıdaki ekran çıktıları halihazırda çalışan konfigürasyona aittir. Muhtemelen, policy’i interface’e uygulamadınız. CLI üzerinden de check etmenizi öneririm.
Saygılar
29 Temmuz 2010, 10:50
Barış bey selam,
Konfigte kafama takılan bi kaç şey var.
Birincisi,25 ve 110 portları için 2 tane acl yazmışşsınız ve any içinde bir tane.match groupta ise 2 tane grup yapmışsınız.Burda hem 25 hem 110 hem any için 3 tane group tanımlamamız gerekmiyormu?
İkinci olarak action grupta girmiş olduğnuz next-hop adresi mail ve internet için aynı bu adres local adresmidir?yoksa mail için g.dot ın ip adresini internet için adsl in ip adresinimi girmemiz gerekiyor?
Bu konuda beni aydınlatabilirseniz sevinirim.
17 Ağustos 2010, 11:01
Fatih Bey, öncelikle 25 ve 110 için tek bir ACL altında iki farklı satır şeklinde bulunmaktadır. Dolayısıyla biri pop3 ve smtp için diğeri de tüm trafiği match eden iki grup tanımlanmışyır.
Action grupta girilen next hop adresi ise, hizmeti almak istediğimiz bağlantının lan tarafındaki next-hopudur. Yani trafiğe adsl ya da g.shdsl üzerinden çıkılması için yol kararı verilir. Belirttiğim senaryo da NULL PBR uygulanmadan, routerin kendi route tablosuna bakması sağlanır. mail, sadece pop3 ve smtp trafiğinin belirttiğimiz next-hop üzerinden gitmesi , internet ise ana bağlantı düştüğünde yedek olarak tüm trafiğin normalde mail için kullanılan bağlantıdan gitmesini amaçlamaktadır.
Ekstra sormak istediğiniz birşey olursa barisozay@gmail.com üzerinden de detaylı konuşabiliriz