Hızlı Erişim
Beyaz Bilgisayar Danışmanlık Hizmetleri Ltd. Şti.
Kural tabanlı Routing koşulları ve uyarılar (MR9)

Kural tabanlı Routing koşulları ve uyarılar (MR9) (13 Ekim 2009)

Açıklama
Policy Based Routing (Router>Policy), varsayılan route’tan bir trafiği saptırmak için kullanılmaktadır.  Yönlendirmeyi HTTP, SMTP vb. güvenilir hizmetler in etkileneceği şekilde tanımlayabilirsiniz.
 
Bileşenler
FortiOS v2.80 MR9 çalıştıran tüm FortiGate birimleri.
FortiOS 2.8 MR7 ve MR8 ile ilgili bilgi için şu yazıya bakınız: Policy Based Routing conditions and caveats (MR7 and MR8)
 
Ayrıntılar
Policy Based Routing trafiği varsayılan bir route’dan ayırmak için kullanılır ve sadece güvenilir servislerin etkileneceği şekilde tanımlanabilir (HTTP, SMTP vb.)
Policy Based Routing konfigüre edilirken bilinmesi gereken bazı koşullar ve dikkat edilmesi gereken şeyler vardır. Gözönünde bulundurulması gereken şeylerin listesi için Policy Based Routing conditions and caveats (MR7 and MR8) yazısına bakınız.
FortiOS 2.8 MR9 ile (dinamik veya statik) iki varsayılan route’un hangisinin her zaman “true” olacağını tanımlayabilirsiniz. Bu, IPSec VPN’ler dinamik arabirimlerle birlikte kullanılırken sorunları ortadan kaldırır.  Çift yönlü route durumunda hangi arabirimin içerden üretilen trafiği dışarı aktaracağını tanımlamak da mümkündür.
İki statik varsayılan route kullanmak
Hangi route’un varsayılan olduğunu tanımlamak için get router info routing_table komutunu kullanın. En üstte görünen route, tercih edilen varsayılan route’dır. Aşağıdaki örneğe bakınız:
Fortigate-60 # get route info routing
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default/p>
S* 0.0.0.0/0 [10/0] via 192.168.183.254, wan1
Default route 1, the ‘True’ default route
[10/0] via 172.31.224.254, wan2 << Default route 2

C 10.100.1.0/24 is directly connected, dmz
C 10.103.1.0/24 is directly connected, internal
C 172.31.224.0/24 is directly connected, wan2
C 192.168.182.0/23 is directly connected, wan1
Yukarıdaki çıktı, statik route’ların oluşturulduğu düzenle web- tabanlı tarayıcıda ilinti kurar. Show routestatic çıktısını kullanarak wan1 route’unun ilk oluşturulan olduğunu görüyoruz  ( “edit 1” değerine dayanarak). Web tabanlı tarayıcıdaki route’ların sıralama düzenini değiştirmenin route ayarlarında bir etkisi yoktur. Tercih edilen route her zaman en düşük “edit x” değerli olan olacaktır. Böylece route değişikliklerini CLI ile yaparak tercih edilen route’u ayarlamak mümkün.
Fortigate-60 # show rout static
config router static
    edit 1
         set device "wan1"
         set gateway 192.168.183.254
    next
    edit 2
         set device "wan2"
         set gateway 172.31.224.254
    next
end/p>
İki dinamik varsayılan route ile (PPPoE veya DHCP)
Tercih edilen varsayılan route diag net int list çıktısına göre en düşük index değerli arabirim tabanlı olacaktır. get router info routing_table komutu iki eşit mesafedeki router’ın konfigüre edildiğini ama hangisinin tercih edilen olduğunu tanımlamak için kullanılamayacağını gösterir. Örneğin aşağıda verilen çıktıda harici ve DMZ arabirimlerinde PPPoE etkin. Düşük indeksli olan arabirim DMZ’dir, bu yüzden her zaman tercih edilen route olacaktır (hangi arabirimin ilk hangisinin son geleceğinden bağımsız olarak). Bu parametre şu an konfigüre edilebilir değildir ve bu yüzden modifiye edilemez.
Fortigate-500 # diag net int list

if=lo family=00 type=772 index=1 mtu=16436 link=0 master=0
ref=5 flags=loopback

if=dmz family=00 type=1 index=2 mtu=1492 link=0 master=0
<< index value = 2. ‘True’ default route>>
ref=5 flags=up broadcast run multicast

if=external family=00 type=1 index=3 mtu=1492 link=0 master=0 << index value = 3.>>
ref=5 flags=up broadcast run multicast

if=internal family=00 type=1 index=4 mtu=1500 link=0 master=0
ref=10 flags=up broadcast run multicast

if=ha family=00 type=1 index=5 mtu=1500 link=0 master=0
ref=6 flags=up broadcast run multicast

if=port1 family=00 type=1 index=6 mtu=1500 link=0 master=0
ref=5 flags=up broadcast run multicast

if=port2 family=00 type=1 index=7 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port3 family=00 type=1 index=8 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port4 family=00 type=1 index=9 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port5 family=00 type=1 index=10 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port6 family=00 type=1 index=11 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port7 family=00 type=1 index=12 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port8 family=00 type=1 index=13 mtu=1500 link=0 master=0
ref=3 flags=up broadcast run multicast

if=root family=00 type=772 index=14 mtu=16436 link=0 master=0
ref=10 flags=up loopback run

if=vsys_ha family=00 type=772 index=15 mtu=16436 link=0 master=0
ref=10 flags=up loopback run

if=port_ha family=00 type=1 index=16 mtu=1496 link=0 master=0
ref=4 flags=up broadcast run multicast

if=ppp1 family=00 type=512 index=18 mtu=1492 link=2 master=0
ref=7 flags=up p2p run noarp multicast

if=ppp0 family=00 type=512 index=17 mtu=1492 link=3 master=0
ref=6 flags=up p2p run noarp multicast

Fortigate-500 # get rout info routi
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [10/0] via 10.103.255.254, ppp1 << two default routes configured>>
[10/0] via 172.31.227.254, ppp0 << two default routes configured >>
C 10.103.1.0/24 is directly connected, internal
C 10.103.255.254/32 is directly connected, ppp1
C 172.31.227.254/32 is directly connected, ppp0/p>
Statik route (arabirim) ve dinamik route kombinasyonu
Varsayılan olarak statik olarak konfigüre edilen route her zaman dinamik olarak elde edilene tercih edilecektir. Bu, her zaman dinamik olan olacak şekilde değiştirilebilir. Manüel olarak konfigüre edilen statik route CLİ aracılığıyla düzenlenmelidir ki böylece “edit x”değer dinamik arabirimin indeks değerinden büyük olsun. Aşağıda verilen örnekte DMZ arabirimi statik olarak konfigüre edilmiştir ve harici arabirimde PPPoE etkindir.
Fortigate-500 # diag net int list

if=lo family=00 type=772 index=1 mtu=16436 link=0 master=0
ref=5 flags=loopback

if=dmz family=00 type=1 index=2 mtu=1492 link=0 master=0
ref=9 flags=up broadcast run allmulti multicast

if=external family=00 type=1 index=3 mtu=1492 link=0 master=0 << dynamic i/f index value=3 >>
ref=5 flags=up broadcast run multicast

if=internal family=00 type=1 index=4 mtu=1500 link=0 master=0
ref=9 flags=up broadcast run multicast

if=ha family=00 type=1 index=5 mtu=1500 link=0 master=0
ref=6 flags=up broadcast run multicast

if=port1 family=00 type=1 index=6 mtu=1500 link=0 master=0
ref=5 flags=up broadcast run multicast

if=port2 family=00 type=1 index=7 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port3 family=00 type=1 index=8 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port4 family=00 type=1 index=9 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port5 family=00 type=1 index=10 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port6 family=00 type=1 index=11 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port7 family=00 type=1 index=12 mtu=1500 link=0 master=0
ref=3 flags=up broadcast multicast

if=port8 family=00 type=1 index=13 mtu=1500 link=0 master=0
ref=3 flags=up broadcast run multicast
if=root family=00 type=772 index=14 mtu=16436 link=0 master=0
ref=11 flags=up loopback run

if=vsys_ha family=00 type=772 index=15 mtu=16436 link=0 master=0
ref=10 flags=up loopback run

if=port_ha family=00 type=1 index=16 mtu=1496 link=0 master=0
ref=4 flags=up broadcast run multicast

if=ppp0 family=00 type=512 index=17 mtu=1492 link=3 master=0
ref=6 flags=up p2p run noarp allmulti multicast

Fortigate-500 #

Fortigate-500 # show router static
config router static
    edit 1 << You must modify the “edit 1” value to something above ‘3’
        set device "dmz"
        set gateway 10.100.0.148
    next
end
PPPoE’nin tercih edilen route olarak ayarlanması için statik varsayılan route için CLI modifikasyonları:
Fortigate-500 # conf router static
(static)# show
config router static
    edit 1
        set device "dmz"        set gateway 10.100.0.148
    next
end
(static)# delete 1
(static)# show
(static)# edit 40
new entry ’40’ added
(40)# show
config router static
    edit 40
    next
end
(40)# set device dmz
(40)# set gateway 10.100.0.148
(40)# next
(static)# end
Fortigate-500 # show router static
config router static
    edit 40 <<‘40’ value is greater than ‘3’ the dynamic
              i/f’s ‘index’

        set device "dmz" value
        set gateway 10.100.0.148
    next
end
PPPoE arabirimi artık her zaman tercih edilen “true” varsayılan route olacaktır. Web tabanlı bir yöneticide ek bir route eklediğinizde 3’den düşük “edit x” değeriyle oluşturulabileceğini not edin. Bu ise daha önce CLI ile yapılanı eski haline getirebilir.
 

 

 

Yazdir Yazdır Düzelt Hata Bildir Tavsiye Et Tavsiye Et Sayfayı Paylaş: FacebookDeliciousTechnoratiYahoo!My SpaceTwitterDiggGoogle BookmarksLink Edinmicrosoft favoritesTwShotStumbleupon Metin Boyutu Metinleri Büyüt Metinleri Küçült

Yazdir
Benzer Başlıklar :  

 


 


pordoc videolu egitim sistemi linux destek Cerevo


Beyaz Bilgisayar Danışmanlık Hizmetleri Ltd. Şti.
Burhaniye Mah. Doğu Karadeniz Cad. Selvili Evler No:26 / E (Villa 5)
Beylerbeyi / Üsküdar / İSTANBUL
T : (0216) 557 72 72    F : (0216) 422 22 90    beyaz@beyaz.net
Her hakkı saklıdır. Site içinde kullanılan tüm yazılar materyaller Beyaz Bilgisayar Ltd. Şti. aittir. İzinsiz kaynak gösterilmeden hiçbir doküman ve resim kullanılamaz. Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur.