Günümzde bütün kurumsal firmalar farkli lokasyondaki subelerini merkez ile baglamaktadir.Adsl baglantinin maliyetlerinin düsük olmasi nedeniyle subelerin merkezle baglantisinda alternatif bir baglanti çesidi olarak Adsl üzerinden VPN çözümü de karsimiza çikmaktadir.Bazi durumlarda SUBE1 den SUBE2 deki kaynaklara da (Server,Printer,vs) erisim ihtiyaci dogabilir.Bütün subelerin birbiri ile haberlesmesi gerektigi durumlarda cok karmasik ve içinden çikilmaz bir konfigurasyon karsimiza çikmaktadir.Bu makalede Cisco Adsl Routerlarla yildiz topoleji seklinde çalisacak ve bütün bölge trafiginin merkez üzerinden geçtigi konfigurasyon anlatilacaktir.

örnek senaryoda merkez ile 2 sube adsl üzerinden VPN ile baglanilacaktir.

Merkez Lokal Network:192.168.100.0/24

Merkez ADSL Statik IP:88.88.88.88

Sube1 Lokal Network  :192.168.110.0/24

Sube1 ADSL Statik IP :77.77.77.77

Sube2 Lokal Network  :192.168.120.0/24

Sube2 ADSL statik IP:66.66.66.66

Adsl statik ipleri rastgele verilmistir.

Merkezimizde 2801 Router ,bölgelerimde ise Cisco 800 serisi adsl routerlar yer almaktadir.Bölgeler ADSL üzerinden VPN ile merkezdeki internet hattina baglanacak.Merkezdeki internet baglantisinin çesidi farketmez.bölge sayisi fazla olan yerlerde metro ethernet bile olabilir.

öncelikle konfigurasyon adimlari belli basliklar altinda toplayalim.

1.VPN tanimlanirin yapilmasi.

2.Nat lanacak trafigin belirlenmesi

3.Cihazlara uzaktan erisimin saglanmasi.

4.Bölgelerin sadece belli iplerden erisime açik olmasi

Yukarda islem adimlarini saydik.Makale içinde kisim kisim anlatmayacagim.Direkt konfigurasyon üzerinden yapilan islemlere geçelim.

Not:Bütün bu routerlarin IOS larinin VPN  destegi olmasi gerekir.

Merkez Routerda yapilacaklar:

Yukardaki konfigurasyonda hem subeler için merkezle vpn tanimlari yapilmis oluyor. Match 130 ve 131 bizim aclerimiz .Bu erisim kontrol listesine uyan trafik vpn tünele giriyor.Her biri için ayri transform set tanimladik.

Tanimladigimiz vpnpol u merkez routerda dialer interface e uyguladik.bu örnekte merkezde de adsl var.Eger baska bir internet baglantisi olsaydi ,ilgili interface e uygulanacakti.

Interface in altina yazili olan 121 ve 120 acl leri bi bakima cihazi firewall gibi çalistirmak için yazilmis acl ler.Burda hangi iplerden gelen trafige izin verilecegi belirtiliyor.

105 Nat a ugramiyacaklari için  Kullanilan accesslist. Real iplere giderken 

Yukardaki 120 ve 121 aclleri ile sadece bölgeden ve bölgeye giden trafige izin vermis olduk.Disardan baska hiçbir trafik izin verilmemis oluyor.

130 ve 131 acl leri vpn trafigini tanimlamak için yazildi.Burda farkli farkli iki acl yazilmasinin amaci her bir acl bir vpn tünele karsilik geliyor.Eger tek bir acl yazmis olsaydik bütün trafik tek vpn tünele gider.

Nat a ugramasi için tanimlanan route map .Böylece bölge trafigi router üzerinde nattan hariç tutulmus oluyor.

Bölge Konfigurasyonu:

Yukardaki konfurasyonda 130 acl ine uyan trafik 88.88.88.88 yani merkeze tunnele giriyor.

Tanimli crypto-map vpnpolbolgeyi ilgili interface e uygulaniyor.

Asagida acl satirinda tanimlanan 105 nolu acl e uyan trafik nata ugaramasin diye yukardaki nat tanimlari yaziliyor.

105 nolu acl nata ugramasin diye

120 acl I çikis yönünde trafigi kisitlamak için

121 acli giris yönünde trafigi kisitlamak için yazilmis acl.Bir nevi firewall acli

130 acli vpne giricek trafigi tanimlamak için

yukarda tanimlanmis 105 acl ile nata ugramayacak trafigi tanimlamak için route map yazildi.

Diger bölgelerde de konfigurasyon yapisi ayni.Dikkat edilecek nokta access listelerde belirtilen networklerin hepsinin yaziliyor olmasi gerekir.

Ortalama Üye Değerlendirmesi

   (0 Oylama)

Yorum Sayısı: 2 / 2