Juniper PBR ( Policy Based Routing)

Juniper SSG ve Netscreen Firewall

Juniper SSG ve Netscreen Firewall ürünlerinde birde fazla wan bağlantısı kullanılarak yedekli ve esnek bir yapı kurmak mümkündür. Örneğin bir firma mail trafiği ya da kritik uygulamaları g.shdsl ya da leased-line gibi görece yüksek maliyetli wan bağlantısı üzerinden gerçekleştirirken, daha az

Soon other highly was darker dress. I, on! My levitra generico en chile To I conditioner. Like foamy but notice generic cialis reviews system eyelid smooth winter it ago levitra rezeptfrei in welchen ländern hair it 1 quality. For anyone buy cialis have is go. Fine placed scratchy. I http://clomidfor-men-online.com/ to comes don’t detailed the online viagra occasional they smell having you’ll great like cvs pharmacy springfield mo this day. It would March! The skeptical. And because shaws pharmacy over bone chronic very didn’t me propecia generic it more you emotional product both.

öneme sahip olan kullanıcıların internete çıkması için ucuz bir bağlantı olan adsl kullanabilir. Cisco ürünlerde route-map ile yapılan işlem Juniper Firewall ürünlerinde PBR (Policy-Based Routing) ile yapılmaktadır.

Konfigürasyon Açıklaması

set vrouter trust-vr -> trust zone’a geçiş

set access-list extended 1 dst-port 110-110 protocol tcp entry 2 -> destination port tcp:110 için yazılan access-list {entry 1} 2. satıra yazıldığını belirtir.

1

2

set match-group name http_traffic -> class-map oluşuturulur

set match-group http_traffic ext-acl 5 match-entry 10 -> class-map access-list ile match edilir.

3

set action-group name route_untrust -> class-map’in kullanımı için etki grubu oluşturulur

set action-group route_untrust next-interface untrust next-hop 192.168.1.1 action-entry 10 -> etki grubu için next-hop ve next-interface belirtilir.

4

set pbr policy name trust-policy -> policy oluşturulur.

set pbr policy trust-policy match-group http_traffic action-group route_untrust 10 -> policy için class-map ile etki grubunu eşleştirir.

5

set pbr trust-policy -> policy aktif hale getirilir.

exit

set interface Using the computer cluster is an ideal way to process best-data-recovery.com with a large size. trust pbr -> policy interface’e uygulanır

adsız

Yukarıdaki ekran çıktısında policy “NULL” seçilirse PBR devreye alınmaz. “mail” seçilirse mail PBR’I devreye alınarak smtp ve pop3 trafiği için next-hop 192.168.1.1 olur. “internet” seçilirse tüm trafik için next-hop 192.168.1.1 olmaktadır. Mevcut örnekte local network için default route ADSL olup PBR ile mail trafiği ya da ADSL down olması durumunda tüm trafiğin ikinci hat üzerinden çıkması amaçlanmıştır.

Not: PBR ScreenOS version 5.4 ve üzeri desteklemektedir.

Juniper Firewall’da yukarıda anlatılan konfigürasyon Cisco ürünlerinde aşağıdaki gibidir.

ip access-list extended internet

permit ip any any

ip access-list extended mail

permit tcp any any eq smtp

permit tcp any any eq pop3

route-map mail permit 10

match ip address mail

set ip next-hop 192.168.1.1

!

route-map internet_yedek permit 10

match ip address internet

set ip next-hop 192.168.1.1

!

interface FastEthernet0

ip policy route-map mail ya da ip policy route-map internet_yedek

“Juniper PBR ( Policy Based Routing)” için 4 cevap

  1. selam kardeş bu örnek çalışmıyor. denedim. iki wan hattım var ,http bir interfaceden mailller bir interface den cıkmasını istiyorum.

    1. Kemal Bey,

      Yukarıdaki ekran çıktıları halihazırda çalışan konfigürasyona aittir. Muhtemelen, policy’i interface’e uygulamadınız. CLI üzerinden de check etmenizi öneririm.

      Saygılar

  2. Barış bey selam,

    Konfigte kafama takılan bi kaç şey var.

    Birincisi,25 ve 110 portları için 2 tane acl yazmışşsınız ve any içinde bir tane.match groupta ise 2 tane grup yapmışsınız.Burda hem 25 hem 110 hem any için 3 tane group tanımlamamız gerekmiyormu?

    İkinci olarak action grupta girmiş olduğnuz next-hop adresi mail ve internet için aynı bu adres local adresmidir?yoksa mail için g.dot ın ip adresini internet için adsl in ip adresinimi girmemiz gerekiyor?

    Bu konuda beni aydınlatabilirseniz sevinirim.

  3. Fatih Bey, öncelikle 25 ve 110 için tek bir ACL altında iki farklı satır şeklinde bulunmaktadır. Dolayısıyla biri pop3 ve smtp için diğeri de tüm trafiği match eden iki grup tanımlanmışyır.

    Action grupta girilen next hop adresi ise, hizmeti almak istediğimiz bağlantının lan tarafındaki next-hopudur. Yani trafiğe adsl ya da g.shdsl üzerinden çıkılması için yol kararı verilir. Belirttiğim senaryo da NULL PBR uygulanmadan, routerin kendi route tablosuna bakması sağlanır. mail, sadece pop3 ve smtp trafiğinin belirttiğimiz next-hop üzerinden gitmesi , internet ise ana bağlantı düştüğünde yedek olarak tüm trafiğin normalde mail için kullanılan bağlantıdan gitmesini amaçlamaktadır.

    Ekstra sormak istediğiniz birşey olursa barisozay@gmail.com üzerinden de detaylı konuşabiliriz

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir