Merhaba arkadaşlar,
Bu makalemde sizlere CGNAT yani Carrier Grade Nat ‘ı anlatacağım
Biliyorsunuz ki. asıl CGNAT cihazı A10 gibi sadece bu işi yapan ürünlerdir fakar bunlar maliyetli olduğundan alternatif çözüm aranırsa Fortigate ‘de bu işi yapabiliyor,
CGNAT yapacak ürününde F serileri bu işler için ideal ‘dir ve corcurrent diğer serilere göre oldukça iyidir zaten CGNAT yapacak ürünün tcp sessions ve performansının yüksek olması gerekir
Şimdi, orta ölçekli veya 10 bin, 30 bin abonesi olan bir isp fortigate kullanarak CGNAT yapabilir.
CGNAT ne işe yarar derseniz aslında içerideki trafiğin kaynağa erişirken kullandığı port aralığının sabitlenmesi dir kısaca, türkiyede bunu BTK loglarında kullanılır herhangi biri suç işlediğinde veya takibe alındığında ilgili İSP ye bu ip adresinin kime ait olduğunu bulmada oldukça kolaylık sağlar tabi bunu günümüzde her İSP sağlıklı yapamıyor
Dip not: Metro Ethernet, vb. devrelerde CGNAT ‘a ihtiyaç yoktur.
Evet şimdi öncelikle içeride kullandığınız ip adreslerinin range aralıklarını belirtiyoruz.
Öncelikle,
Policy Objects-IP Pools | gelip Create New diyoruz,
Aşağıdaki ekranda
PoolName yazıyoruz,
Type : Fixed Port Range ( olması gerekiyor )
External IP address/range : 185.x.x.15-185.x.x.15 ( yazın ) burada istediğiniz ip adresine NAT yapabilirsiniz.
Internal IP Range : 10.5.9.1-10.5.9.50 ( bu kısımda yapınızda kullandığınız BGN pool veya her ne kullanıyorsanız, müşteri Gpon veya modemlerine atanan adreslerin aralığını yazabilirsiniz.
Ve ARP Reply açalım.
Son olarak CLi üzerinden kontrol ettiğimizde yukarıdaki İnternal IP Range kısmına yazdığımız aralıklara göre source portlarının sabit olduğu ve hangi portları kullanacağını görebilirsiniz.
Ayrıca bu işlemleri yaptığınızda artık source portları hiçbir zaman değişmeyecek ve sabit kalacak
Evet aşağıdaki ekranda,
İnterna ip olan 10.5.9.1 ile 50 arası Nat ip olarak 185.x.x.15 ip adresini kullanarak
Her bir internal ip adresi Source range port olarak sabit bir port kullanacaktır.
Mesela aşağıdaki ekranda
10.5.9.1 source range port olarak 5117-6324 aralığını kullanacak sürekli olarak.
bu işlemi aynı mantıkta ipv6 içinde yapabilirsiniz.
diagnose firewall ippool-fixed-range list natip x.x.x.x
Burada belirtmek istediğim bir nokta daha var Range portlarını maalesef siz belirleyemiyorsunuz yani bunu Fortigate kendisi atıyor fakar 7.x ve üzeri versiyonlarda bunu değiştirdiler kendiniz bir aralık belirtebiliyorsunuz.
CGNAT olayını sadece fortigate ürünlerinde değil Cisco, Palo Alto, Checkpoint ve destekleyen Firewall markalarında da yapabilirsiniz.
Ama bu işin babası tabikide A10 ‘dur 🙂 en azından benim duyduğum ve bildiğim
Çünkü baktığımız enterprise ve yurtdışı operatörlerinin büyük bir kısmı bu A10 kullanır
Bir sonraki makalemde görüşmek üzere..