Ortamımızda 1 adet Juniper SRX240 Security Gateway, 1 adet Juniper EX4300 Switch ve EX2200 kenar switchlerimiz olsun. En temel konfigürasyon ve topoloji aşağıdaki gibidir. (Güvenlik noktasında ACL yazılarak vlanlar arası erişim kapatılabilir. Kullanıcılar bir radius otantikasyonuna tabi tutulabilir vs. ihtiyaca göre birçok konfigürasyon yapılabilir ancak makalede minimum konfigürasyon gereksinimi referans alındı. Link yedekliliği ve Radius Authentication işlemleri için diğer makaleler incelenebilir.)
Kenar switch sayısı artırılabilir. Omurgaya yedeklilik için bir EX4300 daha eklenip Virtual Chassis yapılabilir. İhtiyaçlar kapsamında vlan sayısı artırılabilir… Ancak bizim yapımızda minimum konfigürasyon baz alındı.
DMZ ve Misafir vlanlarının gateway i Firewall olacak. Misafir tarafı için network bazında UTM veya firewall kuralları tanımlanabilir. Aynı şekilde DMZ tarafını ayrı bir interfaceden ayrı bir Zone olarak tanımlayıp buna göre security ve routing işlemleri yapılabilir. vs. vs.
Kenar Switch te yapılacak işlemler:
Switch e Management networkünden bir IP adresi vermemiz gerekiyor. (Management networkü için ayrı bir fiziksel hat çekilebilir. Böylece Layer 1 düzeyinde izolasyon sağlanabilir.)
Vlanları oluşturuyoruz:
set vlans Misafir vlan-id 200
set vlans Personel vlan-id 140
set vlans Managemet vlan-id 20
set vlans Managemet interface ge-0/0/40.0
set vlans Managemet l3-interface vlan.0
Burada management vlan için bir layer3 interface oluşturup ip vermek durumundayız.
set interfaces vlan unit 0 family inet address 10.22.2.4/24
Vlanları interfacelere atıyoruz:
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members Personel
Omurgaya bağlanacak portları trunka çekiyoruz ve bu porta hangi vlanların üye olacağını belirtiyoruz:
set interfaces ge-0/0/40 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/40 unit 0 family ethernet-switching vlan members all
Omurgaya doğru route yazıyoruz:
set routing-options static route 0.0.0.0/0 next-hop 10.22.2.1
Omurga Switch te yapılacak işlemler:
Omurgada konfigürasyon biraz değişiyor. Topolojimiz gereği DMZ ve Misafir haricindeki vlanlarımızı firewall da sonlandırmadık. Omurgada sonlandıracağımız vlanlar için hepsine birer layer3 interface atayacağız. Bunun için Junos ta irb (integrated routing and bridging) interface ini kullanıyoruz (ex2200-ex4200 gibi switchlerde l3-interface olarak geçiyor).
VLAN ları oluşturuyoruz ve omurgada sonlanacak olanlar için irb interfacei altında vlanlara ait subinterfaceleri tanımlıyoruz:
set vlans DMZ vlan-id 300
set vlans Misafir vlan-id 200
set vlans Management vlan-id 20
set vlans Management l3-interface irb.20
set vlans Personel vlan-id 140
set vlans Personel l3-interface irb.140
Vlanlarımız Omurgada sonlanacağı için irb altına subinterface ve ip tanımlıyoruz:
set interfaces irb unit 140 family inet address 10.22.14.1/24
set interfaces irb unit 20 family inet address 10.22.2.1/24
Omurganın kenar switchler ile konuşacağı portlarını trunk a çekiyoruz:
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members all
Omurganın Firewall ile konuşacağı portunu trunka çekiyoruz:
set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode trunk
set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members Management
set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members DMZ
set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members Misafir
Firewall a doğru route yazıyoruz:
set routing-options static route 0.0.0.0/0 next-hop 10.22.2.254
Firewall üzerinde yapılacak işlemler:
Vlanlarımızı oluşturuyoruz:
set vlans DMZ vlan-id 300
set vlans DMZ l3-interface vlan.300
set vlans Misafir vlan-id 200
set vlans Misafir l3-interface vlan.200
set vlans Management vlan-id 20
set vlans Management l3-interface vlan.20
Management, DMZ ve Misafir networkleri için birer IP veriyoruz:
set interfaces vlan unit 20 family inet address 10.22.2.254/24
set interfaces vlan unit 200 family inet address 10.22.100.1/24
set interfaces vlan unit 300 family inet address 172.22.22.1/24
Firewall un omurga ile konuşacağı portunu trunk a çekip geçecek vlanları belirtiyoruz:
Burada Personel vlanı (ve ileride ihtiyaç olduğunda eklenecek tüm vlanlar) eklenmedi. Bunun sebebi bu vlanların omurgada sonlanmasıdır. İnternete çıkacakları zaman ise Layer 3 katmanında route edilerek çıkarılırlar.
set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members Management
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members Misafir
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members DMZ
Firewall üzerinde route yazıyoruz:
Sonuçta omurgadaki networkleri bilmesi gerekiyor. Bunu da omurgaya sorarak öğrenecek.
set routing-options static route 10.22.0.0/16 next-hop 10.22.2.1
Böylelikle minimum konfigürasyon ile bir network topolojisi oluşturmuş olduk. vlanlar arası trafiği kesmek için firewall filtering yazılması, firewall un dmz tarafı ve yapmamız gereken diğer konfigürasyonlar da başka bir makalenin konusu olsun.
Etiket: Juniper EX2200 Switch Kurulumu, Juniper EX4300 Switch Kurulumu, Juniper SRX240 Firewall Kurulumu