Bu yazıda Fortigate Firewall üzerinde Policy Base Routing (PBR) konusuna değinmek istedim.
İsminden de anlayabileceğimiz üzere politika tabanlı bir yönlendirme olan PBR en temelde source interface, destination interface, source IP, destination IP ve protokol gibi spesifik kriterler gözetilerek yapılan bir yönlendirme mekanizmasıdır.
Fortigate üzerindeki PBR mekanizması ile belirli ağ trafiği türlerini standart yönlendirme tablosu ile yönlendirmek yerine daha spesifik olarak trafiğin nereye gönderileceği yönüne daha belirgin kararlar verilerek yönlendirme kolaylığı sağlamaktadır.
Fortigate üzerinde yönlendirme işlem öncelikleri;
- PBR rotaları
- ISDB (Internet Service Database Route) rotaları
- SD-WAN kuralları
- Yönlendirme önbelleği (Route Cache)
- FIB Tablosu (İletim Bilgi Tablosu)
olarak işleme alınmaktadır. Aşağıda Fortigate özelinde yönlendirme sorgulama sürecinin akış şeması yer alır.
Resim-1
DİPNOT:
FIB tablosundan biraz bahsedecek olursak;
Fortigate yönlendirme bilgilerini RIB ve FIB olmak üzere iki tabloda tutmaktadır. FIB, RIB (Routing Information Base) tablolarından oluşan ve FortiOS in kernel üzerinde oluşturulan asıl yönlendirme girdilerinin (IP datagramları, next hop, protokol id leri vs.) tutulduğu bir tablodur.
RIB ise statik ve dinamik rotaların doğrudan tutulduğu bir tablodur. Bu bilgilerin temeli sayesinde FIB tablosu oluşturulur.
RIB tablosunu doğrudan görmek için aşağıdaki komut koşturulur.
get router info routing-table all
FIB tablosunu doğrudan görmek için
get router info kernel ya da diagnose ip route list komutlarını kullanabilirsiniz.
PBR içinde yer alan tüm yönlendirmeler yukarıdan aşağıya doğru işlenir.
Fortigate üzerinde PBR kullanımına ihtiyaç duyulacak en bilindik senaryolar şu şekilde sıralanabilir.
- Birden fazla internet hattı bulunan bir ağ altyapısında spesifik bir ağ trafiğini ya da spesifik bir sunucu/istemciyi sadece belirli bir internet hattından bağlantı kurması senaryosu kurgulanabilir.
- Fortigate altyapılı bir şube yapısında istemcilerin internetlerini şubenin kendi internetleri üzerinden çıkarmak yerine ağ trafiğini merkez firewall a yönlendirip yine bu merkez firewall üzerinden trafiğin internete yönlendirilmesi sağlanabilir.
PnetLab üzerinde tatbikatı yapılan Politika tabanlı yönlendirme (Policy Base Routing – PBR) topolojisi aşağıdadır.
Resim-2
Bu topoloji üzerinde 10.20.20.3 IP adresi hariç diğer tüm 10.20.20.0/24 subneti internete MOON firewall üzerinden internet bağlantısı sağlanacak şekilde kurgulanmıştır.
SUN firewall ve MOON firewall cihazları üzerinde ve switchler üzerinde tüm başlangıç düzey yapılandırmalar öncesinden yapılmıştır. Dolayısı ile buradaki asıl gaye PBR konseptini ve PBR yapılandırmalarını ele alır.
Resim-3
PBR yapılandırmasına geçmeden önce firewall üzerinde Advanced Routing özelliğinin aktif olması gerekir. Feature Visibility menüsü üzerinden bu özellik varsayılan olarak aktif gelir. Eğer aktif değilse buradan aktif edilmesi gerekir.
Resim-4
Bu PBR trafiğin doğrudan iletilmesine yönelik bir trafiktir.
VL-20 interface üzerinden gelen tüm kaynak IP adresleri tüm hedef adreslere erişmek istediğinde trafik port2 ye ve 192.168.1.2 Gateway adrese yönlendirilecektir.
Resim-5
LAB üzerindeki şartımızda 10.20.20.3 IP adresini bu şarttan ayrı tuttuğumuz için bu IP adresinin PBR da işlenmeden sadece SUN Firewall cihazının routing tablosuna bakılarak internet trafiğinin yönlendirilmesini istediğimiz için Stop Policy Routing yapılmaktadır.
Böylelikle 10.20.20.3 IP adresi MOON FW cihazına yönlendirilmeden internete SUN FW cihazının routing tablosu üzerinden trafik yönlendirilmesi gerçekleştirilecektir.
Resim-6
Policy ID değeri 1 olan policy istisna tuttuğumuz istemcinin internet erişim politikasıdır.
Policy ID değeri 2 olan policy ise 10.20.20.0/24 subnetini MOON Firewall cihazına erişimini tanımlayan politikadır.
Resim-7
MOON Firewall cihazında olan Policy ID değeri 1 olan politika, SUN Firewall cihazından gelen tüm trafiğin port1 e yani internete erişim iznini tanımlayan politikadır.
Resim-8
MOON Firewall cihazı üzerinde sadece bir adet default route bulunmaktadır.
Son olarak trafik loglarına göz gezdirelim.
Resim-9
10.20.20.3 IP adresinin internet erişimi SUN Firewall üzerinden gerçekleşmektedir.
Resim-10
Resim-11
10.20.20.2 IP adresinin internet erişimi port2 üzerinden MOON Firewall cihazı vasıtasıyla internet bağlantısı gerçekleşmektedir.
Bu yazıda PBR kaleme alınmıştır. Daha modern yönlendirme teknolojileri olarak Fortigate üzerinde SD-WAN teknolojisi kullanılabilir.
Aklınıza takılan herhangi bir soruda bana linkedin üzerinden ulaşabilirsiniz.
TAGs: Fortigate, Routing, PBR, Network, Advanced Routing, SD-WAN, Policy Base Routing, Politika Tabanlı Yönlendirme, PnetLAB, LAB