Re: [cisco-ttl] ip routing ile ilgili bir soru?

From: MURAT SÜRÜCÜ <msurucu_at_....>
Date: Sat, 19 Jul 2008 19:06:07 +0300


Dediğiniz şekilde yapmaya çalıştım ancak vlan tagladığım interface’e ping atamadım ilçe router’ından. Firewall 10.4.2.1 ip’sinde ve VLAN 2 de.

Aşağıdaki ayarlarla merkez router hem firewall’a hem ilçe router’a hem de ilçedeki PC lere ping atabiliyor.

İlçedeki router ise merkezdeki router’a ping atabiliyor ancak merkezdeki routerın vlan tag’lı bacağına ve firewall’a ping atamıyor.  

interface FastEthernet0/1.2

 description saglikvlan

 encapsulation dot1Q 2

 ip address 10.4.2.2 255.255.255.0

 no snmp trap link-status

 no cdp enable

interface ATM2/0.3 point-to-point

 description SAGLIKATM

 ip address 10.2.2.1 255.255.255.252

 ip access-group 151 in

 ip access-group 152 out

 ip policy route-map fw_yonlen

 no ip mroute-cache

 pvc SAGLIK 0/45

  protocol ip 10.2.2.2 broadcast

  encapsulation aal5snap

ip access-list extended fw_acl

 …

 permit ip any any

route-map fw_yonlen permit 20

 match ip address fw_acl

 set ip next-hop 10.4.2.1

…  

İlçe Router’ı ise  

ip dhcp excluded-address 10.3.2.1

ip dhcp excluded-address 10.3.2.2

ip dhcp excluded-address 10.3.2.3

ip dhcp excluded-address 10.3.2.4

ip dhcp excluded-address 10.3.2.5

ip dhcp pool zsyo

   network 10.3.2.0 255.255.255.0

   dns-server xxx

   default-router 10.3.2.3

interface Serial0/0.1 point-to-point

 ip address 10.2.2.2 255.255.255.252

 frame-relay interface-dlci 45

!

no ip classless

ip route 0.0.0.0 0.0.0.0 10.2.2.1

no ip http server

!  

From: cisco-ttl_at_yahoogroups.com [mailto:cisco-ttl_at_yahoogroups.com] On Behalf Of Abdullah Muslumanoglu Sent: Friday, July 18, 2008 9:34 AM
To: cisco-ttl_at_yahoogroups.com
Subject: Re: [cisco-ttl] ip routing ile ilgili bir soru?  

cisco'da PBR var, PBR (Policy Based Route) ile yapabilirsin diye dusunuyorum.

ornek;

conf t

route-map firewala_yonlen permit 10
match ip address firewala_yonlen
set ip next-hop "firewall'in ipsi veya firewall'in yakili oldugu L3 switch'in ipsi)

ip access-list extended firewala_yonlen

deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
deny ip any "disbirimlerin ip adressleri (veya subnet'leri)"
.
.
permit ip any any

int "ilce1,ilce2,ilce3,ilcen" (internetin bagli oldugu interface HARIC, ilcelerin bagli oldugu tum interface'e uygulamalisin) ip policy route-map firewalla_yonlen

bu ayardan sonra iceriye giden trafiklerin haricindeki tum trafik firewall'a yonlenecek, firewall da da gerekli izinlerden gectikten sonra internete route edeceksin.firewall ile router arasina koyacagin L3 switch'te firewall'in farkli vlan'lerde olmasinda fayda var.

ip policy ile uygulayacagin interface'lerde tek tek uygulayarak test etmende fayda var

Dış birimlerimiz merkez router üzerindeki statik routelarla internete çıkmaktalar. Merkezde de bir tane firewall cihazımız var. Acaba dış birimleri de merkezdeki firewall üzerinden geçirme imkanımız var mı?

ATM üzerinde Diğer ilçeler ve
İnternet Çıkışı
|
|

Merkez Router
|

Firewall
|
|

İç Ağ

Diğer uçlar dediğim bölgedeki bir personelimiz merkez routera route edilmiş vaziyette, ayrıca merkez route gelen tüm paketler de İnternet çıkışına yönlendirilmekte. İç ağdan gelen trafik normalde FW üzerinden geçerek internete çıkmakta. Ama ATM ucundaki diğer binalarımızdaki kullanıcılarımız Merkez Routera gelmesine rağmen FW'a uğramadan internete çıktıkları için gerekli güvenlik sağlanamamaktadır.

Örneğin;

interface ATM1/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive

interface ATM1/0.1 point-to-point
description connected to INTERNET
ip address 55.55.55.10 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc INTERNET 0/55
protocol ip 55.55.55.9 broadcast
encapsulation aal5snap

interface ATM1/0.2 point-to-point
description connected to ILCE1
ip address 188.88.88.9 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc ILCE1 0/88
protocol ip 188.88.88.10 broadcast
encapsulation aal5snap

interface FastEthernet2/1
ip address 88.88.87.1 255.255.255.0
duplex auto
speed auto
no cdp enable

.
.
.

ip route 0.0.0.0 0.0.0.0 55.55.55.9
ip route 188.88.89.0 255.255.255.0 188.88.88.10

gibi bir konfigürasyonda firewall'un ip si 88.88.87.2 olsun. İlçedeki bir kullanıcı da 188.88.89.3 nolu ip ye sahip olsun. 188.88.89.3 nolu IP nasıl FW üzerinden çıkabilir internete.

Tabi FW üzerinden geçirirken FW router arasına ve FW iç ağ arasına yönlendirme yapabilen bir switch koyduğumu düşünüyorum. Arayüze özgü statik route mümkün müdür? *bsd cihazlarda mümkün diye biliyorum ama cisco üzerinde de varsa paketin geldiği interface'e göre route özelliği, o zaman cisco da yapacağım.

ATM üzerinde Diğer ilçeler ve
İnternet Çıkışı
|
|

Merkez Router
|

+-------\ (ilçeden gelen paketler L3 sw üzerinden başka porta
| | yönlendirilecek)

Firewall |
| |

+-------/ (başka bir sw ile de ilçeden gelen paketler
| FW'un giriş bacağına yönlendirilecek)
İç Ağ

Böyle bir yapı mümkün müdür?
Teşekkürler.


--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar.Yahoo! Groups Links

__________________________________________________________
Not happy with your email address?.
Get the one you really want - millions of new email addresses available now at Yahoo! http://uk.docs.yahoo.com/ymail/new.html

[Non-text portions of this message have been removed]

 



[Non-text portions of this message have been removed]
Received on Mon Jul 21 2008 - 01:50:58 CEST

This archive was generated by hypermail 2.2.0 : Mon Jul 21 2008 - 01:51:03 CEST