SonicWALL NSA 7500 kurulumu ve Policy Base Routing

 

Bu makalemde SonicWALL un en büyük ürünü olan NSA 7500 ürünü üzerinde Politika tabanlı yönlendirme(Policy Base Routing-PBR) yapılışını ve bunu günümüzde sıkça kullanılmakta olan Metro Ethernet erişimi ile  VLAN üzerinden yönlendirilmesini göreceğiz.

Genel olarak büyük çaplı kuruluşlarda bütün internet trafiğinin tekbir çıkış üzerinden gitmesi istenmemektedir.Belirli grupların(Yada ZONE ların) farklı çıkışlara yönlendirilmesi gerekmektedir.Bunun için yapıyı bu şekilde bir uygulamaya üzerinden anlatmayı uygun gördüm.

X1: LeasedLine/FR/ADSL/G.SHDSL gibi herhangi bir bağlantı olabilir.

X3: Metro Ethernet VLAN Tag(802.11q) = 120


Topoloji Yapısı;

 

image001

 

 

Amaç;

 

                Topolojiye göre LAN Subnetine ait olan kullanıcılar Http,SSL, ve DNS isteklerini X1      üzerinden gönderirken DMZ subnet kullanıcıları X3 üzerinden Http,SSL,Smtp,POP3                 ve DNS isteklerini göndereceklerdir.Bu Senaryoyu yedeklenebilir hale       getirebilmekteyiz, Örneğin 1. X1 çıkışı eğer kesintiye uğrarsa bütün trafiği X3 yani       Metro Ethernete gönder şeklinde yapabilmekteyiz. Bunu kuruluş esnasında anlatıyoruz.

 

Kuruluş ;
SonicWALL default Ip = 192.168.168.168 ve default kullanıcı adı ve şifresi  admin / password dür.Bununla sisteme girdikten sonra senaryodaki gibi LAN IP adresini değiştirelim  ve kendimizi aynı subnet ten bir Ip grubuna alalım.

image002

              �
Daha Sonra X1=WAN ZONE’una ait olan portu edit ederek ilgili IP değişikliğini sağlayalım.

 

image003

 

Aynı şekilde Senaryo ya uygun olarak DMZ ile ilgili port atamasını aşağıdaki gibi yapalım.

 

image004

 

Son olarak Metro Ethernet Port tanımlaması için Add Interface bölümünden Sub Interface ekleyerek VLAN = 120 ‘yi olarak X3 altında oluşturalım.

 

image005 

Interfacelerin en son durumu aşağıdaki gibi olacaktır. Burada iki adet WAN Interfaceimiz vardır. Bir tanesi Router ile çıkmakta diğeri VLAN=120 ID nolu Metro Ethernete yönlenmektedir.

image006

 

 

Şimdi ilgili Port Gruplarını oluşturalım ;

 

Bunları hem LAN Subnet hemde DMZ için ayrı ayrı oluşturacağız. Bunun için Firewall/Services bölümüne gitmemiz gerekiyor.

 

image007

 

DMZ için aşağıdaki Port Grupları oluşturunuz.

 

image008

 


Daha Sonra Routing Bölümünden LAN Subnet in hangi Gateway üzerinden çıkması gerektiğini belirteceğiz.(Burada Default Gateway = X1 Interface dir)

 

image009

 

Aynı Şekilde DMZ Subnet içinde bu gruba ait olan portların hangi WAN Interface üzerinden çıkarmamız gerektiğini belirteceğiz. Buradaki WAN Gateway =X3 dür. Interface ise VLAN gösterilecektir.

 

image010

 

Yukarıda anlatıldığı şekilde konfigürasyonu tamamladığınızda Politika temelli Yönlendirmeniz çalışacaktır. Aşağıdaki Routing Tablosunun son durumunu inceleyiniz.

 

image011

 

SonicWALL da eğer bir WAN Interface Down olduğunda trafiğin diğer taraftan çıkmasını istiyorsanız “Disable route when the interface is disconnected” seçeneğini aktif ediniz. Bu durumda cihaz bu route’u askıya alacaktır ve bütün trafiği diğer taraftan gönderecektir. Bunun olması için Load Balance kısmından Round Robin seçeneğiniz aktif etmeyi unutmayınız. Aynı şeyi Metric değerini 2 yaparak da gerçekleştirebilirsiniz.

SonicWALL Dinamik Load Balance işlemini otomatik olarak gerçekleştirir yani port 80 üzerinden gelen yükü iki WAN interface’ine otomatik olarak dağıtabilir (yâda diğer başka bir portu) biri Down olduğunda diğerine yük otomatik olarak geçer. Bunu diğer bölümde inceleyeceğiz.

Mustafa AKÇİN