Балансировка трафика на межсетевые экраны UserGate с помощью брокера сетевых пакетов DS Integrity

В данном разделе представлены результаты совместной работы брокера сетевых пакетов DS Integrity-100NG и межсетевых экранов UserGate D500.

Для имитации работы сети и анализа входящего трафика на предмет модификаций и потерь использовался генератор трафика Spirent N12U.

Далее будет рассмотрена настройка оборудования и проверка балансировки трафика на межсетевые экраны UserGate с помощью брокеров сетевых пакетов DS Integrity. Для тестирования использовался стенд, состоящий из:

• Брокер сетевых пакетов DS Integrity-100NG – 1 шт.

• Межсетевой экран UserGate D500 – 3 шт.

• Генератор трафика Spirent N12U – 1 шт.

Настройка DS Integrity-100NG.

1. Настроить группы входных и выходных портов:

2. Определить класс трафика для групп входных портов:

3. Настроить балансировку и агрегирование трафика:

   • с входного порта 1 настроить балансировку на выходные порты 3, 5, 7;

   • с входного порта 2 настроить балансировку трафика на выходные порты 4, 6, 8;

   • с входных портов 3, 5, 7 агрегировать трафик на выходной порт 1;

   • с входных портов 4, 6, 8 агрегировать трафик на выходной порт 2.

4. Настроить подмену МАС-адреса назначения на соответствующий МАС-адрес интерфейса устройства UserGate D500 для всех портов, подключённых к UserGate.

5. С помощью фильтров настроить зеркалирование пакетов протокола ARP с входного порта 1 на выходные порты 3, 5, 7 (т.е. с группы входных портов 1 на группу выходных портов 33) и с входного порта 2 на выходные порты 4, 6, 8 (т.е. с группы входных портов 2 на группу выходных портов 34).

Настройка UserGate D500.

Подробно о настройке межсетевых экранов UserGate читайте в UserGate 6. Руководство администратора.

1. Устройства UserGate D500 объединить в кластер конфигурации.

2. На интерфейсах, подключённых к брокеру сетевых пакетов DS Integrity-100NG, назначить одинаковые IP-адреса, которые будут использоваться в качестве шлюзов на подключаемом оборудовании.

После подачи трафик через брокер сетевых пакетов DS Integrity-100NG должен поступать на межсетевые экраны UserGate D500 и возвращаться обратно на Spirent N12U после прохождения через устройства UserGate. При этом объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать.

Балансировка трафика на межсетевые экраны UserGate с помощью отказоустойчивого кластера брокера сетевых пакетов DS Integrity и использованием динамической маршрутизации (OSPF, BGP)

В данном разделе будет рассмотрена организация отказоустойчивого кластера, состоящего из двух брокеров сетевых пакетов DS Integrity-100NG, для совместной работы с межсетевыми экранами UserGate D500.

Тестовый стенд:

• Брокер сетевых пакетов DS Integrity-100NG – 2 шт.

• Межсетевой экран UserGate D500 – 3 шт.

• Генератор трафика Spirent N12U – 1 шт.

• Маршрутизатор – 2 шт.

Маршрутизаторы Router 1 и Router 2 позволяют организовать работу отказоустойчивого кластера брокера сетевых пакетов DS Integrity-100NG.

Настройка DS Integrity-100NG.

Дополнительно к настройкам брокера сетевых пакетов, представленных в разделе Балансировка трафика на межсетевые экраны UserGate с помощью брокера сетевых пакетов DS Integrity:

1. В случае применения OSPF: с помощью фильтров настроить зеркалирование пакетов многоадресной (multicast) рассылки протокола OSPF между портами маршрутизаторов и UserGate (на рисунке ниже представлена общая настройка; могут быть выполнены более специфичные настройки).

2. В случае применения BGP: с помощью фильтров настроить пересылку одноадресных (unicast) пакетов на IP-адрес конкретного интерфейса UserGate.

В данной конфигурации:

• 50.0.0.11, 50.0.0.12, 50.0.0.13 – IPv4-адреса интерфейсов UserGate в направлении маршрутизатора Router 1;

• 60.0.0.11, 60.0.0.12, 60.0.0.13 – IPv4-адреса интерфейсов UserGate в направлении маршрутизатора Router 2.

Настройка маршрутизаторов.

1. На Router 1 и Router 2 настроить динамическую маршрутизацию OSPF и/или BGP.

2. Назначить порту 1 маршрутизаторов Router 1 и Router 2 высокий приоритет, порту 2 – низкий.

Настройка UserGate D500.

1. Назначить разные IP-адреса интерфейсам, подключённым к брокерам сетевых пакетов DS Integrity-100NG в направлении маршрутизаторов Router1 и Router2.

2. Настроить динамическую маршрутизацию OSPF и/или BGP.

В настройках интерфейсов OSPF:

1. Укажите значение приоритета, равное 0, чтобы назначенным маршрутизатором (Designated Router, DR) всегда был Router1 или Router2.

2. Назначьте интерфейсам разных узлов разную стоимость канала, чтобы в таблицу маршрутизации Router1/Router2 попадал только один маршрут:

При использовании BGP:

1. Для проверки необходимо иметь возможность установления TCP-сессии с конкретным узлом UserGate, поэтому на каждый интерфейс UserGate, подключённый к брокеру сетевых пакетов DS Integrity-100NG, должны быть назначены два IP-адреса:

   • первый адрес – уникальный для установления BGP-соседства с маршрутизаторами Router1/Router2;

   • второй адрес – одинаковый на всех узлах; данный адрес будет передаваться как next-hop на маршрутизаторы Router1/Router2.

2. Настроить BGP-соседство с маршрутизаторами Router1/Router2.

3. Настроить Routemaps, указав в качестве next-hop второй IP-адрес, одинаковый для всех интерфейсов:

4. Произвести настройку сетей и фильтров.

В результате представленных выше настроек направление трафика через один из брокеров сетевых пакетов регулируется заданием весов маршрутов (в случае использования BGP) или стоимости интерфейсов (при использовании OSPF) для разных узлов UserGate и, дополнительно, для интерфейсов, подключённых к одному из брокеров сетевых пакетов.

Маршрутизаторы Router 1 и Router 2 в соответствии с указанным приоритетом после подачи перенаправляют трафик на брокер сетевых пакетов DS Intergrity-100NG 1. Далее трафик поступает на устройства UserGate D500 и возвращается обратно на Spirent N12U после прохождения через них.

В случае сбоя в работе брокера сетевых пакетов DS Intergrity-100NG 1, то маршрутизаторы должны отправлять трафик на брокер сетевых пакетов DS Intergrity-100NG 2. Далее трафик поступает на устройства UserGate D500 и возвращается обратно на Spirent N12U после прохождения через них.

Объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать. При выходе из строя одного из брокеров сетевых пакетов DS Integrity-100NG трафик поступает на рабочий.

Мониторинг доступности кластера UserGate

В данном разделе представлена настройка оборудования, необходимая для проверки доступности кластера устройств UserGate. Тестовый стенд аналогичен стенду, представленному в разделах Балансировка трафика на межсетевые экраны UserGate с помощью брокера сетевых пакетов DS Integrity или Балансировка трафика на межсетевые экраны UserGate с помощью отказоустойчивого кластера брокера сетевых пакетов DS Integrity и использованием динамической маршрутизации (OSPF, BGP).

Настройка брокера сетевых пакетов DS Integrity-NG.

1. Настроить обмен heartbeat-сообщениями между портами 3 и 4, 5 и 6, 7 и 8.

При пропадании пакетов heartbeat на одной из пар портов считать, что данное соединения недоступно и перенаправлять трафик через оставшиеся 2 канала.

В качестве heartbeat-пакетов использовались пакеты UDP с IP-адресами источника и назначения 169.254.0.1.

Настройка UserGate.

1. Для прохождения heartbeat-пакетов через UserGate настроить статический маршрут.

Для этого перейдите в раздел Сеть ➜ Виртуальные маршрутизаторы добавьте статический маршрут типа:

2. Разрешить прохождение сетевых пакетов, используя правила межсетевого экранирования (раздел Политики сети ➜ Межсетевой экран веб-интерфейса управления UserGate).

После подачи трафик через маршрутизаторы и брокер сетевых пакетов DS Integrity-100NG должен поступать на устройства UserGate D500 и возвращаться обратно на Spirent N12U после прохождения через устройства UserGate. При этом объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать. В случае выхода из строя одного из межсетевых экранов UserGate D500 происходит балансировка трафика на другие два устройства UserGate.