OS Blog

VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?

29.09.2014
2.033

Bridge Mode DSL Modem ile Firewall arasında 2 adet VLAN kullanarak oluşturulan VLAN Tunnel üzerinden switch haberleştirme.

VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?

Çalışmakta olduğum kurumda geçtiğimiz günlerde şu şekilde bir istek oldu. Birimlerimizden biri kendine ait bir ADSL modem ve TTnet aboneliği almış. Ancak kurumun lokal ağına dahil olmadığı için kurum sunucularından faydalanamıyor. Hem kurum networküne dahil olmak istiyor hemde kendine ait adsl üzerinden internete çıkmak istiyor. Dolayısıyla bu alt ağın güvenli bir şekilde internete çıkması ve hemde kurum networkünden faydalanması gerekiyor.

Vlan Bridge Mode Topolojisi

Kurum networküne köprü atmak akla gelebilir ancak bu da güvenlik açığına sebebiyet vereceğinden tercih edilemez. Çünkü Firewall’ a girmeden internete bir çıkış sağlanmış olacaktır. Kağıt üzerinde bir kaç topoloji denedikten sonra “Vlan Bridge Mode topolojisi” yani ADSL modemi VLAN tüneli kullanarak switch üzerinden Firewall‘ a ulaştırmaya karar verdim. Biraz daha ayrıntıya girmekte yarar var, bu söz konusu birimin data centera uzaklığı 3,2Km mesafede. Aramızda Single Mode Fiber Optik Kablo bağlantısı mevcut. Bu nedenle o noktaya sadece 1 adet HP 2624 akıllı switch koymakla işe başlamış oldum. Aradaki single mode f/o kablodan Vlan leri trunk olarak geçireceğim.

bridge mode vlan topology
Bridge Mode Vlan Topolojisi

Böylece yönetilebilir switch üzerinden Trunk fiber hat ile cihazları (modem ve firewall) haberleştireceğim. Konfigurasyonu bu topolojiye göre yapacağız. Resme tıklayarak büyük halde görebilirsiniz.

Topolojideki yapıyı kurmak için mevcut network üzerine 1 adet akıllı switch ve 1 adet VLAN destekli ADSL modem gerekiyor. Airties 5440, 5452, 5650 türünde modemlerde VLAN desteği bulunmaktadır. Elinizde modem var ise VLAN desteği için  kullanma kılavuzuna bakınız.

Main Switch Konfigurasyonu ile Başlayalım.

MAIN SWITCH Konfigurasyonu:

Main switche SSH ile bağlanalım ve config moda geçerek iki adet VLAN tanımlayalım. Dikkat komutlar HP E serisi switchlere göre yazılmıştır. Benzer şekilde diğer switchlere göre uyarlayabilirsiniz.

main#> config
main(config)#> vlan 1035
main(vlan-1035)#> name modem_blok
main(vlan-1035)#> tagged a1,b1

main(vlan-1035)#> vlan 1036
main(vlan-1036)#> name ip_blok
main(vlan-1036)#> tagged a1,b2
main(vlan-1036)#> write memory
main(vlan-1036)#> exit
main(config)#>

Main switch üzerinde hem modem için VLAN hemde bu modem ile internete çıkacak kullanıcı grubu için VLAN tanımladık. Kullanıcı VLAN1036, modem ve switchler ise VLAN1035 ile haberleşecekler.

KENAR SWITCH Konfigurasyonu:

Kenar switchte 2 adet gigabit portum var. Bunlardan port25′ i Uplink için, port26’yı ise modemin 4 nolu portuna bağlayacağız. 1-24 portlar ise kullanıcı grubunun kullanımına sunulacak. Bu nedenle

port25–>VLAN1035+VLAN1036 üyesi olacak.
port26–>VLAN1035
port1-24–>VLAN1036 şeklinde untagged edilecek.

kenar#>config
kenar(config)#>vlan 1035
kenar(vlan-1035)#>name modem_blok
kenar(vlan-1035)#>tagged 25,26

kenar(vlan-1035)#>vlan 1036
kenar(vlan-1036)#>name ip_blok
kenar(vlan-1036)#>tagged 25
kenar(vlan-1036)#>untagged 1-24
kenar(vlan-1036)#>exit
kenar(config)#>write memory
kenar(config)#>

Böylelikle kenar switch üzerinde ki Vlan yapılandırmasını da gerçekleştirdik. Hem main hem kenar switchte vlan’ lere IP vermedik. Çünkü Routing işlemini Layer3te değil Firewall üzerinde yapacağız. Modem üzerindeki ayarlara geçelim.

Modem Ayarları:

Modem Arayüzü
Modem Arayüzü Giriş

Öncelikle modem Bridge moda alınır ki bağlantı parametrelerini firewall üzerinden set edebilelim. Airties VDSL 5650 için ayarladım, benzer şekilde de VLAN desteği olan başka bir modeme uyarlayınız.

Modem Vlan Port
Modem Vlan Port Aktivasyonu

Switchlerde açtığımız VLAN1035‘ i modemde de açalım ve interface tanımlayalım. Modem default olarak tüm interfaceleri (portları) default Vlan olan VLan1 e atadığı için öncelikle 4 nolu portu vlan 1 üyeliğinden alalım. Burada dikkat edilmesi gereken nokta port4‘e karşılık gelen interface Ethernet 3 tür. Aşağıdaki resimde de görebilirsiniz.

Modem yeniden başladıktan sonra tekrar LAN>Vlan Yapılandırma kısmından Yeni VLan oluştur butonuna basalım ve açılan sayfada

Modem Vlan Konfigurasyonu
Vlan Adlandırma

Modem VLAN Ayarları

Vlan Adı: modem_blok,
Vlan Id: 1035     yazalım. Burada id kısmı switchte tanımladığımız Vlan id ile aynı olmak zorundadır. Daha sonrada sol sütundaki Ethernet-3 yada Port 4 yazan interface’ i sağ tarafa yani yeni vlan’e tanımlayalım. kaydedelim.

Modem Vlan tagged-untagged
VLan Etiketleme

Vlan protokolünde switch tarafından modemin görülebilmesi için Vlan 1035‘ e tagged edelim. Bunun için LAN>Port Ayarları bölümünde Port 4 satırının sonundaki ayarı Etiketle olarak değiştirelim. Yani tagged etmiş oluyoruz.

Modem VLan List
Modem Vlan Listesi

Vlan Bridge mode çalışan modemin tanımladığımız Vlan 1035 üzerinden haberleşebilmesi için İnternet>İnternet Ayarları menusunden Bu arayüzü şu köprüye ekle kısmında tanımladığımız Vlan adını seçelim.

Modem Vlan Ip interface
Vlan Arayüzü Ip Tanımları

Modemde son olarak arayüze ulaşılabilmesi için Vlan 1035 için management ip verelim. LAN>IP ve DHCP Ayarları bölümünde yeni vlan için DHCP kapalı olacak şekilde IP verelim. 10.0.35.3/255.255.255.0 olabilir.

Modem ve Switch konfigurasyonu bitti ve şimdi firewall ayarlarımızı yapacağız.

FIREWALL KONFİGURASYONU:

Routing ve Firewall işlemini Fortigate 224B üzerinde yapacağız. Farklı modeldeki firewall’ lar için uyarlanabilir şekilde anlatacağım.

Incoming (Gelen-İç) Interface = Port15
Outcoming (Giden-Dış) Interface = Port16 olarak belirleyelim.

firewall vlan interface tanımı
Firewall Vlan Interface Tanımı

System>Interface
Incoming interface için IP / Mask=0.0.0.0/0.0.0.0  ve Ping=ok. ayarlayalım.

Firewall Vlan Üyeliği
Firewall Incoming VLan

Daha sonra Port 15 için VLan1036 üyesi interface tanımlayalım. Ayarları resimdeki gibi set edelim.

f3
Firewall Outgoing Vlan

Outcoming port için IP / Mask= 10.0.35.1/24 ve ping=ok tanımlayalım.

İnternet Servis Sağlayıcı Şifreleri
Bridge Modemdeki TTnet Parolası Firewall Arayüzden Giriliyor

Port16 dan modem bağlantı parametrelerini girmek için Vlan 1035 üyesi interface tanımlayalım. Bağlantı parametrelerinin girilebilmesi için PPPoE seçeneğini işaretleyiniz. Resimdeki gibi set edelim.

Firewall’ da Vlan tabanlı ayarlarımız bitti. Şimdi Routing ve Webfilter ayarları kaldı.

Firewall Ip Routing
Firewall IP Routing

Routing:
Resimdeki gibi incoming ve outcoming portları belirleyerek dinamik yapıda basit bir route tanımlayalım.

p1
Firewall Web Policy

Web Policy:
Yine aşağıdaki resimde gösterildiği üzere tanımlayabilirsiniz. Kısıtlamalar tamamen size ait.

ZİYARETÇİ YORUMLARI - 0 YORUM

Henüz yorum yapılmamış.

Bu web sitesi, bilgisayarınıza bilgi depolamak amacıyla bazı tanımlama bilgilerini kullanır.
Bu bilgilerin bir kısmı sitenin çalışmasında esas rolü üstlenirken bir kısmı ise kullanıcı deneyimlerinin iyileştirilmesine yardımcı olur.
Sitemizi kullanarak bu tanımlama bilgilerinin yerleştirilmesine izin vermiş olursunuz. Kişisel Verilerin Korunması,
Gizlilik Politikası ve Çerez (Cookie) Kullanımı İlkeleri hakkında detaylı bilgi için KVKK&GDPR sayfamızı inceleyiniz.
Omersahin.com.tr
Copyright | 2007-2021