Re: [cisco-ttl] ip routing ile ilgili bir soru?

From: Abdullah Muslumanoglu <engineer_middleeast_at_....>
Date: Fri, 18 Jul 2008 06:33:49 +0000 (GMT)

cisco'da PBR var, PBR (Policy Based Route) ile yapabilirsin diye dusunuyorum.

ornek;

conf t

route-map firewala_yonlen permit 10
 match ip address firewala_yonlen
 set ip next-hop "firewall'in ipsi veya firewall'in yakili oldugu L3 switch'in ipsi)

ip access-list extended firewala_yonlen 

deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
.
.
permit ip any any

int "ilce1,ilce2,ilce3,ilcen" (internetin bagli oldugu interface HARIC, ilcelerin bagli oldugu tum interface'e uygulamalisin) ip policy route-map firewalla_yonlen

bu ayardan sonra iceriye giden trafiklerin haricindeki tum trafik firewall'a yonlenecek, firewall da da gerekli izinlerden gectikten sonra internete route edeceksin.firewall ile router arasina koyacagin L3 switch'te firewall'in farkli vlan'lerde olmasinda fayda var.

ip policy ile uygulayacagin interface'lerde tek tek uygulayarak test etmende fayda var

  • Original Message ---- From: Murat Sürücü <msurucu_at_karaelmas.edu.tr> To: cisco-ttl_at_yahoogroups.com Sent: Tuesday, 8 July, 2008 9:31:04 PM Subject: [cisco-ttl] ip routing ile ilgili bir soru?

Dış birimlerimiz merkez router üzerindeki statik routelarla internete çıkmaktalar. Merkezde de bir tane firewall cihazımız var. Acaba dış birimleri de merkezdeki firewall üzerinden geçirme imkanımız var mı?

ATM üzerinde Diğer ilçeler ve

   Ä°nternet Çıkışı

|
|

   Merkez Router

|

     Firewall


        |

        |

      İç Ağ

Diğer uçlar dediğim bölgedeki bir personelimiz merkez routera route edilmiş vaziyette, ayrıca merkez route gelen tüm paketler de İnternet çıkışına yönlendirilmekte. İç ağdan gelen trafik normalde FW üzerinden geçerek internete çıkmakta. Ama ATM ucundaki diğer binalarımızdaki kullanıcılarımız Merkez Routera gelmesine rağmen FW'a uğramadan internete çıktıkları için gerekli güvenlik sağlanamamaktadır.

Örneğin;

interface ATM1/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive

interface ATM1/0.1 point-to-point
description connected to INTERNET
ip address 55.55.55.10 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc INTERNET 0/55
  protocol ip 55.55.55.9 broadcast
  encapsulation aal5snap

interface ATM1/0.2 point-to-point
description connected to ILCE1
ip address 188.88.88.9 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc ILCE1 0/88
  protocol ip 188.88.88.10 broadcast
  encapsulation aal5snap

interface FastEthernet2/1
ip address 88.88.87.1 255.255.255.0
duplex auto
speed auto
no cdp enable 

.
.
.

ip route 0.0.0.0 0.0.0.0 55.55.55.9
ip route 188.88.89.0 255.255.255.0 188.88.88.10

gibi bir konfigürasyonda firewall'un ip si 88.88.87.2 olsun. İlçedeki bir kullanıcı da 188.88.89.3 nolu ip ye sahip olsun. 188.88.89.3 nolu IP nasıl FW üzerinden çıkabilir internete.

Tabi FW üzerinden geçirirken FW router arasına ve FW iç ağ arasına yönlendirme yapabilen bir switch koyduğumu düşünüyorum. Arayüze özgü statik route mümkün müdür? *bsd cihazlarda mümkün diye biliyorum ama cisco üzerinde de varsa paketin geldiği interface'e göre route özelliği, o zaman cisco da yapacağım.

ATM üzerinde Diğer ilçeler ve

   Ä°nternet Çıkışı

|
|

   Merkez Router

|

        +-------\  (ilçeden gelen paketler L3 sw üzerinden başka porta 


        |       |    yönlendirilecek)

     Firewall   |


        |       |

        +-------/   (başka bir sw ile de ilçeden gelen paketler


        |             FW'un giriş bacağına yönlendirilecek)

      İç Ağ

Böyle bir yapı mümkün müdür?
Teşekkürler. 

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar.Yahoo! Groups Links




      __________________________________________________________
Not happy with your email address?.
Get the one you really want - millions of new email addresses available now at Yahoo! http://uk.docs.yahoo.com/ymail/new.html

[Non-text portions of this message have been removed]
Received on Fri Jul 18 2008 - 15:28:31 CEST

This archive was generated by hypermail 2.2.0 : Fri Jul 18 2008 - 15:28:38 CEST