Günümüz network altyapısı artık yükseliyor ve heryerde bir BULUT'tur gidiyor.
Özellikle Amazon ve Microsoft Azure piyasada bu konuda çok hızlı ilerliyor. Aslında bulut dedikleri yapı belirli bölgelerdeki hızlı bağlantılar ve güçlü altyapı ile hazırlanmış Data Center'ların sanallaştırmayı çok iyi kullanarak müşterilerin hizmetine açılması olayı.
Biz de eksik kalmayalım dedik, Microsoft Azure ile bir demo kurulumu yaptık, Juniper ScreenOS firewall'larında yaptığım testlerle hiçbir sıkıntı yaşamadan VPN UP duruma geldi ve gayet başarılı şekilde çalıştı.
Gelelim basit bir konfigürasyona;
JORDAN Ofisi:
Öncelikle JORDAN adında bir ofisimiz olsun.
Cihaz: SSG20
SSG20 gateway interface: adsl1/0
JORDAN Network : 172.16.77.0/24
Gateway : 77.77.77.77
AZURE Cloud:
Azure tarafında da 192.168.0.0/16 adres aralığını kullanalım.
Azure Cloud için aşağıdaki linkten bir hotmail hesabı ile login olabiliriz.
http://www.windowsazure.com/tr-tr/pricing/free-trial/
Ardından bir network yaratmamız gerekecek. Bu adımları aşağıdaki örnek bilgilere göre hazırlayabiliriz.
LocalNetworkSite : JORDANtoAZURE
VirtualNetworkSite name : JORDANnet
Address Space : 192.168.0.0/16
Subnet-1 : 192.168.66.0/24
GatewaySubnet : 192.168.6.0/24
VPNGatewayAddress(Azure): 66.66.66.66
Preshared Key : asdx1234asdx123
Yukarıdaki Azure network konfigürasyonunu hazırlayalım.
.....
.....
Bu alanı kısa süre sonra yayınlayacağım..
.....
.....
Bu konfigürasyona göre Juniper ScreenOS cihazımızda aşağıdaki komutları adım adım izlersek sıkıntısız çalışacaktır.
############# China to Azure VPN connection #############
# China Local: (Network Ekibi tarafindan doldurulacak alan)
SSG20 Lokal Ag Blogu : 172.16.77.0/24
SSG20 Public IP adresi : 77.77.77.77
baglanti tipi : adsl1/0
yeni tünel adi : tunnel.1
# Azure Cloud: (Sistem ekibi tarafindan doldurulacak alan)
LocalNetworkSite adi : JORDANtoAZURE
VirtualNetworkSite name : JORDANnet
Address Space : 192.168.0.0/16
Subnet-1 : 192.168.66.0/24
GatewaySubnet : 192.168.6.0/24
VPNGatewayAddress(Azure): 66.66.66.66
Preshared Key : asdx1234asdx123
SSG20 tarafina yapilacaklar
# Virtual tunnel interface configuration
--------------------------------------------
set interface tunnel.1 zone Untrust
set interface tunnel.1 ip unnumbered interface adsl1/0
set route 192.168.0.0/16 interface tunnel.1
# Internet Key Exchange (IKE) configuration
--------------------------------------------
set ike p1-proposal "Azure_phase1-proposal" preshare group2 esp aes128 sha-1 seconds 28800
set ike gateway "Azure_phase1" address "66.66.66.66" main outgoing-interface "adsl1/0" preshare asdx1234asdx123 proposal "Azure_phase1-proposal"
set ike gateway "Azure_phase1" dpd-liveness interval 10
# IPSec configuration
--------------------------------------------
set ike p2-proposal "Azure_phase2-proposal" no-pfs esp aes128 sha-1 seconds 3600
set vpn "Azure_phase2" gateway "Azure_phase1" tunnel idletime 0 proposal "Azure_phase2-proposal"
set vpn "Azure_phase2" monitor optimized rekey
set vpn "Azure_phase2" proxy-id local-ip 172.16.77.0/24 remote-ip 192.168.0.0/16 "ANY"
set vpn "Azure_phase2" bind interface tunnel.1
# ACL rules
---------------------------------------------
set address Trust "172.16.77.0/24" 172.16.77.0/24
set address Untrust "192.168.0.0/16" 192.168.0.0/16
set policy top from Trust to Untrust "172.16.77.0/24" "192.168.0.0/16" any permit
set policy top from Untrust to trust "192.168.0.0/16" "172.16.77.0/24" any permit
# TCPMSS clamping
----------------------------------------------
set flow vpn-tcp-mss 1350
Hiç yorum yok:
Yorum Gönder