OS Blog

VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?

29.09.2014
66
VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?

[dropcap]Ç[/dropcap]alışmakta olduğum kurumda geçtiğimiz günlerde şu şekilde bir istek oldu. Birimlerimizden biri kendine ait bir ADSL modem ve TTnet aboneliği almış. Ancak kurumun lokal ağına dahil olmadığı için kurum sunucularından faydalanamıyor. Hem kurum networküne dahil olmak istiyor hemde kendine ait adsl üzerinden internete çıkmak istiyor. Dolayısıyla bu alt ağın güvenli bir şekilde internete çıkması ve hemde kurum networkünden faydalanması gerekiyor. Kurum networküne köprü atmak akla gelebilir ancak bu da güvenlik açığına sebebiyet vereceğinden tercih edilemez. Çünkü Firewall’ a girmeden internete bir çıkış sağlanmış olacaktır. Kağıt üzerinde bir kaç topoloji denedikten sonra ADSL modemi VLAN tüneli kullanarak switch üzerinden Firewall’ a ulaştırmaya karar verdim. Biraz daha ayrıntıya girmekte yarar var, bu söz konusu birimin datacentera uzaklığı 3,2Km mesafede. Aramızda Single Mode Fiber Optik Kablo bağlantısı mevcut. Bu nedenle o noktaya sadece 1 adet HP 2624 akıllı switch koymakla işe başlamış oldum. Aradaki [highlight color=”yellow”]single mode f/o[/highlight] kablodan Vlan leri trunk olarak geçireceğim.

Böylece yönetilebilir switch üzerinden Trunk fiber hat ile cihazları(modem ve firewall) haberleştireceğim. Sözü fazla uzatmadan çizdiğim topolojiyi paylaşayım daha yararlı olacaktır. Konfigurasyonu bu topolojiye göre yapacağız. Resme tıklayarak büyük halde görebilirsiniz.
topology1

Topolojideki yapıyı kurmak için mevcut network üzerine 1 adet akıllı switch ve 1 adet VLAN destekli ADSL modem gerekiyor. Airties 5440, 5452, 5650 türünde modemlerde VLAN desteği bulunmaktadır. Elinizde modem var ise VLAN desteği için  kullanma kılavuzuna bakınız.

Öncelikle Main Switch konfigurasyonu ile başlayalım.

MAIN SWITCH Konfigurasyonu:

Main switche SSH ile bağlanalım ve config moda geçerek iki adet VLAN tanımlayalım. Dikkat komutlar HP E serisi switchlere göre yazılmıştır. Benzer şekilde diğer switchlere göre uyarlayabilirsiniz.

[box type=”note” align=”” class=”” width=””]

main#>config
main(config)#>vlan 1035
main(vlan-1035)#>name modem_blok
main(vlan-1035)#>tagged a1,b1

main(vlan-1035)#>vlan 1036
main(vlan-1036)#>name ip_blok
main(vlan-1036)#>tagged a1,b2
main(vlan-1036)#>write memory
main(vlan-1036)#>exit
main(config)#>
[/box]

Main switch üzerinde hem modem için VLAN hemde bu modem ile internete çıkacak kullanıcı grubu için VLAN tanımladık. Kullanıcı VLAN1036, modem ve switchler ise VLAN1035 ile haberleşecekler.

KENAR SWITCH Konfigurasyonu:

Kenar switchte 2 adet gigabit portum var. Bunlardan port25′ i Uplink için, port26’yı ise modemin 4 nolu portuna bağlayacağız. 1-24 portlar ise kullanıcı grubunun kullanımına sunulacak. Bu nedenle
port25–>VLAN1035+VLAN1036 üyesi olacak.
port26–>VLAN1035
port1-24–>VLAN1036 şeklinde untagged edilecek.

[box type="note" align="" class="" width=""]
kenar#>config
kenar(config)#>vlan 1035
kenar(vlan-1035)#>name modem_blok
kenar(vlan-1035)#>tagged 25,26

kenar(vlan-1035)#>vlan 1036
kenar(vlan-1036)#>name ip_blok
kenar(vlan-1036)#>tagged 25
kenar(vlan-1036)#>untagged 1-24
kenar(vlan-1036)#>exit
kenar(config)#>write memory
kenar(config)#>
[/box]

Böylelikle kenar switch üzerinde ki Vlan yapılandırmasını da gerçekleştirdik. Hem main hem kenar switchte vlan’ lere IP vermedik. Çünkü Routing işlemini Layer3te değil Firewall üzerinde yapacağız. Modem üzerindeki ayarlara geçelim.

Modem Ayarları:

Öncelikle modem Bridge moda alınır ki bağlantı parametrelerini firewall üzerinden set edebilelim. Airties VDSL 5650 için ayarladım, benzer şekilde de VLAN desteği olan başka bir modeme uyarlayınız.
modem1

Switchlerde açtığımız VLAN1035‘ i modemde de açalım ve interface tanımlayalım. Modem default olarak tüm interfaceleri (portları) default Vlan olan VLan1 e atadığı için öncelikle 4 nolu portu vlan 1 üyeliğinden alalım. Burada dikkat edilmesi gereken nokta port4‘e karşılık gelen interface Ethernet 3 tür. Aşağıdaki resimde de görebilirsiniz.
modem2

Modem yeniden başladıktan sonra tekrar[highlight color=”orange”] LAN>Vlan[/highlight] Yapılandırma kısmından Yeni VLan oluştur butonuna basalım ve açılan sayfada

Vlan Adı: modem_blok,
Vlan Id: 1035     yazalım. Burada id kısmı switchte tanımladığımız Vlan id ile aynı olmak zorundadır. Daha sonrada sol sütundaki Ethernet-3 yada Port 4 yazan interface’ i sağ tarafa yani yeni vlan’e tanımlayalım. kaydedelim.
modem3

Vlan protokolünde switch tarafından modemin görülebilmesi için Vlan 1035‘ e tagged edelim. Bunun için [highlight color=”orange”]LAN>Port[/highlight] Ayarları bölümünde Port 4 satırının sonundaki ayarı Etiketle olarak değiştirelim. Yani tagged etmiş oluyoruz.
modem4

Bridge modda çalışan modemin tanımladığımız Vlan 1035 üzerinden haberleşebilmesi için [highlight color=”orange”]İnternet>İnternet Ayarları[/highlight] menusunden Bu arayüzü şu köprüye ekle kısmında tanımladığımız Vlan adını seçelim.
modem5

Modemde son olarak arayüze ulaşılabilmesi için Vlan 1035 için management ip verelim. [highlight color=”orange”]LAN>IP ve DHCP Ayarları[/highlight] bölümünde yeni vlan için DHCP kapalı olacak şekilde IP verelim. 10.0.35.3/255.255.255.0 olabilir.
modem6

Modem ve Switch konfigurasyonu bitti ve şimdi firewall ayarlarımızı yapacağız.

FIREWALL KONFİGURASYONU:

Routing ve Firewall işlemini Fortigate 224B üzerinde yapacağız. Farklı modeldeki firewall’ lar için uyarlanabilir şekilde anlatacağım.

[box type=”info” align=”” class=”” width=””]

Incoming (Gelen-İç) Interface = Port15

Outcoming (Giden-Dış) Interface = Port16 olarak belirleyelim.

[/box]

System>Interface
Incoming interface için IP / Mask=0.0.0.0/0.0.0.0  ve Ping=ok. ayarlayalım.
f1

Daha sonra Port 15 için VLan1036 üyesi interface tanımlayalım. Ayarları resimdeki gibi set edelim.
f2

Outcoming port için IP / Mask= 10.0.35.1/24 ve ping=ok tanımlayalım.
f3

Port16 dan modem bağlantı parametrelerini girmek için Vlan 1035 üyesi interface tanımlayalım. Bağlantı parametrelerinin girilebilmesi için PPPoE seçeneğini işaretleyiniz. Resimdeki gibi set edelim.
f4

Firewall’ da Vlan tabanlı ayarlarımız bitti. Şimdi Routing ve Webfilter ayarları kaldı.

Routing:
Resimdeki gibi incoming ve outcoming portları belirleyerek dinamik yapıda basit bir route tanımlayalım.
r1

Web Policy:
Yine aşağıdaki resimde gösterildiği üzere tanımlayabilirsiniz. Kısıtlamalar tamamen size ait.
p1

Biraz uzun bir işlem gibi gözükse de VLAN, Routing, Firewall hepsi bir arada olunca konu uzuyor. Ancak yapımı ve mantığını kavrayabilirseniz son derece basit olduğunu göreceksiniz.

No votes yet.
Please wait...
BİR YORUM YAZIN

ZİYARETÇİ YORUMLARI - 0 YORUM

Henüz yorum yapılmamış.

Bu web sitesi, bilgisayarınıza bilgi depolamak amacıyla bazı tanımlama bilgilerini kullanır.
Bu bilgilerin bir kısmı sitenin çalışmasında esas rolü üstlenirken bir kısmı ise kullanıcı deneyimlerinin iyileştirilmesine yardımcı olur.
Sitemizi kullanarak bu tanımlama bilgilerinin yerleştirilmesine izin vermiş olursunuz. Kişisel Verilerin Korunması,
Gizlilik Politikası ve Çerez (Cookie) Kullanımı İlkeleri hakkında detaylı bilgi için KVKK&GDPR sayfamızı inceleyiniz.
Omersahin.com.tr
Copyright | 2007-2019