Bu makalemde SonicWALL un en büyük ürünü olan NSA 7500 ürünü üzerinde Politika tabanlı yönlendirme(Policy Base Routing-PBR) yapılışını ve bunu günümüzde sıkça kullanılmakta olan Metro Ethernet erişimi ile VLAN üzerinden yönlendirilmesini göreceğiz.
Genel olarak büyük çaplı kuruluşlarda bütün internet trafiğinin tekbir çıkış üzerinden gitmesi istenmemektedir.Belirli grupların(Yada ZONE ların) farklı çıkışlara yönlendirilmesi gerekmektedir.Bunun için yapıyı bu şekilde bir uygulamaya üzerinden anlatmayı uygun gördüm.
X1: LeasedLine/FR/ADSL/G.SHDSL gibi herhangi bir bağlantı olabilir.
X3: Metro Ethernet VLAN Tag(802.11q) = 120
Topoloji Yapısı;
Amaç;
Topolojiye göre LAN Subnetine ait olan kullanıcılar Http,SSL, ve DNS isteklerini X1 üzerinden gönderirken DMZ subnet kullanıcıları X3 üzerinden Http,SSL,Smtp,POP3 ve DNS isteklerini göndereceklerdir.Bu Senaryoyu yedeklenebilir hale getirebilmekteyiz, Örneğin 1. X1 çıkışı eğer kesintiye uğrarsa bütün trafiği X3 yani Metro Ethernete gönder şeklinde yapabilmekteyiz. Bunu kuruluş esnasında anlatıyoruz.
Kuruluş ;
SonicWALL default Ip = 192.168.168.168 ve default kullanıcı adı ve şifresi admin / password dür.Bununla sisteme girdikten sonra senaryodaki gibi LAN IP adresini değiştirelim ve kendimizi aynı subnet ten bir Ip grubuna alalım.
�
Daha Sonra X1=WAN ZONE’una ait olan portu edit ederek ilgili IP değişikliğini sağlayalım.
Aynı şekilde Senaryo ya uygun olarak DMZ ile ilgili port atamasını aşağıdaki gibi yapalım.
Son olarak Metro Ethernet Port tanımlaması için Add Interface bölümünden Sub Interface ekleyerek VLAN = 120 ‘yi olarak X3 altında oluşturalım.
Interfacelerin en son durumu aşağıdaki gibi olacaktır. Burada iki adet WAN Interfaceimiz vardır. Bir tanesi Router ile çıkmakta diğeri VLAN=120 ID nolu Metro Ethernete yönlenmektedir.
Şimdi ilgili Port Gruplarını oluşturalım ;
Bunları hem LAN Subnet hemde DMZ için ayrı ayrı oluşturacağız. Bunun için Firewall/Services bölümüne gitmemiz gerekiyor.
DMZ için aşağıdaki Port Grupları oluşturunuz.
Daha Sonra Routing Bölümünden LAN Subnet in hangi Gateway üzerinden çıkması gerektiğini belirteceğiz.(Burada Default Gateway = X1 Interface dir)
Aynı Şekilde DMZ Subnet içinde bu gruba ait olan portların hangi WAN Interface üzerinden çıkarmamız gerektiğini belirteceğiz. Buradaki WAN Gateway =X3 dür. Interface ise VLAN gösterilecektir.
Yukarıda anlatıldığı şekilde konfigürasyonu tamamladığınızda Politika temelli Yönlendirmeniz çalışacaktır. Aşağıdaki Routing Tablosunun son durumunu inceleyiniz.
SonicWALL da eğer bir WAN Interface Down olduğunda trafiğin diğer taraftan çıkmasını istiyorsanız “Disable route when the interface is disconnected” seçeneğini aktif ediniz. Bu durumda cihaz bu route’u askıya alacaktır ve bütün trafiği diğer taraftan gönderecektir. Bunun olması için Load Balance kısmından Round Robin seçeneğiniz aktif etmeyi unutmayınız. Aynı şeyi Metric değerini 2 yaparak da gerçekleştirebilirsiniz.
SonicWALL Dinamik Load Balance işlemini otomatik olarak gerçekleştirir yani port 80 üzerinden gelen yükü iki WAN interface’ine otomatik olarak dağıtabilir (yâda diğer başka bir portu) biri Down olduğunda diğerine yük otomatik olarak geçer. Bunu diğer bölümde inceleyeceğiz.
Mustafa AKÇİN