Merhaba,
Ne yapmak istediğinizi tam olarak çözemedim ancak ilçelerden merkeze gelen
bağlantıları gerçek ipden gerçek ipye gre tünellemesi yaparak firewall
arkasında sonlandırıp tüm ağınızı tek bir nat grubuyla internete
çıkarabilirsiniz.
private ip private ip
bölge ofis1 bölge ofis2
| |
GRE Tunnel(BSD) GRE Tunnel(BSD)
||| |||
||| |||
||| |||
||| |||
|||___________________|||
|||
____MerkezRT(vs)----NAT/FW--Internet
| ||
| ||
| ||
| Tunneller için sonlandırıcı(BSD box)
| |
| |
Merkez L3 Switch--------|
|
|
Merkez Campus Ağı
private ip
akademik bir ağ olduğunu varsayarak kampus network modeline uygun bir şema
çizmeye çalıştım.
zannedersem ;
1-bölge ve merkze ofislerin iç ağlarında private ip kullanıyorsunuz
2-merkezde total bir atm bağlantınız var ve şubeler burada toplanıyor aynı
zamandada aynı bağlantıdan internete çıkıyorsunuz (sanal sub-interfaceler
kullanarak)
3-bölge ofislerinizde routerlar var ve dış ipleri gerçek ip.
umarım doğru anlamışımdır.
ascii ile çizim pek iyi olmadı zannedersem kusura bakmayın :)
Kolay Gelsin
İyi Çalışmalar
Mehmet Erten
bilgisayarımda raslatığım birde not:
GRE için örnek model:
Özel IP network
(Bilindiği üzere ------(BSD Box GRE Encap.)
route edilemiyor) |||Real IP
192.168.2.0 Ağı |||
|||
|||
|||
|||Real IP
Özel IP Network ------------(BSD Box GRE Encap.)
192.168.1.0 Ağı
Real ip'den real ip'ye kurulan GRE tüneli route edilemeyen ip
trafiklerinin birbirleri ile haberleşmesi için kullanılabilir.
2008/7/9 Murat Sürücü <[EMAIL PROTECTED]>:
> Daha önce başka bir listede de sordum ama cevap gelmedi, bir de freebsd
> cilere sorayım dedim. Ben router ve switchler üzerindeki yönlendirmeler ile
> yapılır diye düşündüm ama freebsd firewall üzerinde yazdığım kurallarla
> yapabilirmiyim aşağıda yazdığım şeyleri. Aşağıdaki sorunun özeti dış
> kampüslerimizdeki kullanıcılarımızı da nat yapmadan merkezdeki freebsd
> güvenlik duvarı üzerinden geçirebilir miyim? :)
> (ipfw üzerinden geçtikten sonra nat yapılabilir, ama daha önce değil,
> loglarını da alacağım çünkü)
>
> Saygılar.
>
> ---------------------------------
>
> Dış birimlerimiz merkez router üzerindeki statik routelarla internete
> çıkmaktalar. Merkezde de bir tane firewall cihazımız var. Acaba dış
> birimleri de merkezdeki firewall üzerinden geçirme imkanımız var mı?
>
>
> ATM üzerinde Diğer ilçeler ve
> İnternet Çıkışı
> |
> |
> Merkez Router
> |
> Firewall
> |
> |
> İç Ağ
>
>
> Diğer uçlar dediğim bölgedeki bir personelimiz merkez routera route edilmiş
> vaziyette, ayrıca merkez route gelen tüm paketler de İnternet çıkışına
> yönlendirilmekte. İç ağdan gelen trafik normalde FW üzerinden geçerek
> internete çıkmakta. Ama ATM ucundaki diğer binalarımızdaki kullanıcılarımız
> Merkez Routera gelmesine rağmen FW'a uğramadan internete çıktıkları için
> gerekli güvenlik sağlanamamaktadır.
>
> Örneğin;
>
> interface ATM1/0
> no ip address
> no ip mroute-cache
> no atm ilmi-keepalive
>
> interface ATM1/0.1 point-to-point
> description connected to INTERNET
> ip address 55.55.55.10 255.255.255.252
> ip access-group 151 in
> ip access-group 152 out
> no ip mroute-cache
> pvc INTERNET 0/55
> protocol ip 55.55.55.9 broadcast
> encapsulation aal5snap
>
>
> interface ATM1/0.2 point-to-point
> description connected to ILCE1
> ip address 188.88.88.9 255.255.255.252
> ip access-group 151 in
> ip access-group 152 out
> no ip mroute-cache
> pvc ILCE1 0/88
> protocol ip 188.88.88.10 broadcast
> encapsulation aal5snap
>
> interface FastEthernet2/1
> ip address 88.88.87.1 255.255.255.0
> duplex auto
> speed auto
> no cdp enable
>
> .
> .
> .
>
> ip route 0.0.0.0 0.0.0.0 55.55.55.9
> ip route 188.88.89.0 255.255.255.0 188.88.88.10
>
> gibi bir konfigürasyonda firewall'un ip si 88.88.87.2 olsun. İlçedeki bir
> kullanıcı da 188.88.89.3 nolu ip ye sahip olsun. 188.88.89.3 nolu IP nasıl
> FW üzerinden çıkabilir internete.
>
> Tabi FW üzerinden geçirirken FW router arasına ve FW iç ağ arasına
> yönlendirme yapabilen bir switch koyduğumu düşünüyorum.
> Arayüze özgü statik route mümkün müdür?
> *bsd cihazlarda mümkün diye biliyorum ama cisco üzerinde de varsa paketin
> geldiği interface'e göre route özelliği, o zaman cisco da yapacağım.
>
>
>
> ATM üzerinde Diğer ilçeler ve
> İnternet Çıkışı
> |
> |
> Merkez Router
> |
> +-------\ (ilçeden gelen paketler L3 sw üzerinden başka porta
> | | yönlendirilecek)
> Firewall |
> | |
> +-------/ (başka bir sw ile de ilçeden gelen paketler
> | FW'un giriş bacağına yönlendirilecek)
> İç Ağ
>
>
> Böyle bir yapı mümkün müdür?
> Teşekkürler.
>
>
> FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
> ---------------------------------------------------------------------
> Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
> bakiniz.
>
> Cikmak icin, e-mail: [EMAIL PROTECTED]
> Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
>
>
>
