Juniper SRX210 – EX4200 LAG Konfigürasyonu

Bu topoloji ile, SRX210 Firewall ile EX4200 Switch’i LACP ile gruplandıracağız.

SRX210’un ge-0/0/0 ve ge-0/0/1 portları, EX4200’nin ise ge-0/0/22 ve ge-0/0/23 portları ae0 (aggregated Ethernet) portları olarak tanımlanacaktır.

SRX Firewall’un PC1’e bakan interface (fe-0/0/7) tarafı UNTRUST zone olarak, LAG tarafı ise TRUST zone olarak ayarlanacaktır. VlanLAG olarak isimlendirdiğimiz vlan, SRX210 üzerinde sonlandırılacaktır.

EX4200 üzerinde sadece LAG ayarlamaları, vlan tanımlamasını ve PC2 tarafının “port-mode” seçimlerinin yapılacağını söyleyebiliriz.

juniper-srx210-ex4200-lag

EX4200 Switch Konfigürasyonu:
root@EX4200-24P> show configuration | display set | no-more
set version 12.3R12.4
set system host-name EX4200-24P
set system root-authentication encrypted-password “$1$ng5pQBQ6$VW1r5CrJgvTwcNG8o8C8h/”
set chassis aggregated-devices ethernet device-count 1
set interfaces ge-0/0/20 unit 0 family ethernet-switching
set interfaces ge-0/0/21 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/21 unit 0 family ethernet-switching vlan members 10
set interfaces ge-0/0/22 ether-options 802.3ad ae0
set interfaces ge-0/0/23 ether-options 802.3ad ae0
set interfaces ae0 aggregated-ether-options lacp active

Bu kısım ile, switch tarafındaki LACP tanımlamasını bitirmiş oluyoruz.
#show lacp statistics interface komutu ile ayarlanmış ae0 portunun durumunu görüntüleyebiliriz.
set interfaces ae0 unit 0 family ethernet-switching port-mode trunk
set interfaces ae0 unit 0 family ethernet-switching vlan members all
set routing-options static route 0.0.0.0/0 next-hop 192.168.10.1
set vlans vlanLAG vlan-id 10

Bu komutların ardından commit işlemini yaparak EX4200 tarafı ayarlamalarının sonuna gelmiş bulunuyoruz.

SRX210 Firewall Konfigürasyonu
root@SRX210> show configuration |display set | no-more
set version 12.1X46-D50.4
set system host-name SRX210
set system root-authentication encrypted-password “$1$1XfiJzdW$F.z6EHSyDoVABFCXow7DN0”
set chassis aggregated-devices ethernet device-count 1
set interfaces ge-0/0/0 gigether-options 802.3ad ae0
set interfaces ge-0/0/1 gigether-options 802.3ad ae0
set interfaces fe-0/0/7 unit 0 family inet address 192.168.20.1/24
set interfaces ae0 aggregated-ether-options lacp active
set interfaces ae0 unit 0 family ethernet-switching port-mode trunk
set interfaces ae0 unit 0 family ethernet-switching vlan members all

Firewall tarafının da LACP ayarlamalarını tamamladıktan sonra sırasıyla, vlan ve l3-interface tanımlaması, firewall filter ayarlamaları, trafiği monitör etmek için flow ayarları yapılacaktır.

set interfaces vlan unit 10 family inet address 192.168.10.1/24
set security flow traceoptions file FLOW
set security flow traceoptions file size 1m
set security flow traceoptions file world-readable
set security flow traceoptions flag basic-datapath
set security flow traceoptions packet-filter PF1 source-prefix 192.168.20.2/32
set security flow traceoptions packet-filter PF1 destination-prefix 192.168.10.2/32
set security flow traceoptions packet-filter PF2 source-prefix 192.168.10.1/32
set security flow traceoptions packet-filter PF2 destination-prefix 192.168.10.2/32

Vlan.10 olarak ayarladığımız alana topolojide belirlediğimiz IP adresini atadık ve veri iletişiminin sağlanacağı yol için packet-filter tanımlamaları yapıldı.

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrust then log session-init
set security policies from-zone trust to-zone untrust policy trust-to-untrust then log session-close
set security policies from-zone untrust to-zone trust policy untrust-to-trust match source-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust match destination-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust match application any
set security policies from-zone untrust to-zone trust policy untrust-to-trust then permit
set security policies from-zone untrust to-zone trust policy untrust-to-trust then log session-init
set security policies from-zone untrust to-zone trust policy untrust-to-trust then log session-close
set security zones security-zone trust interfaces vlan.10 host-inbound-traffic system-services all
set security zones security-zone untrust interfaces fe-0/0/7.0 host-inbound-traffic system-services all
set vlans vlanLAG vlan-id 10
set vlans vlanLAG l3-interface vlan.10

Topolojide belirtilen “TRUST”, “UNTRUST” alanları için security zone’lar oluşturuldu ve gerekli izinler/log ayarlamaları yapıldı.

Tüm bu konfigürasyonlar commit edildikten artık PC1 ve PC2 hostlarını ICMP ile haberleştirebildiğimizi, LAG’ın sorunsuz çalıştığını göreceğiz.

Onur ÖZTEKİN

.

About Emre BAŞTUĞ

Emre BAŞTUĞ