В крупных сетях зачастую множество логических сетей используют для прохождения трафика одни и те же сетевые устройства. Данный трафик должен быть разделен на сетевых устройствах, в первую очередь для уменьшения риска несанкционированного доступа между сетями.
Виртуальные маршрутизаторы или Virtual Routing and Forwarding (VRF) обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы. Трафик из одной группы интерфейсов не может попасть в другие группы интерфейсов.
Каждый виртуальный маршрутизатор имеет свою собственную таблицу маршрутизации. Таблица маршрутизации виртуального роутера может содержать запись о маршрутах, заданных статически или полученных с помощью протоколов динамической маршрутизации — BGP, OSPF, RIP.
В рамках разных виртуальных маршрутизаторов допускается использовать одинаковые IP-сети (IP overlapping).
Интерфейсы, не вошедшие ни в один из виртуальных маршрутизаторов, автоматически назначены в виртуальный маршрутизатор — Виртуальный маршрутизатор по умолчанию.
Виртуальные маршрутизаторы имеют следующие ограничения:
Следующие сервисы могут быть использованы только в Виртуальном маршрутизаторе по умолчанию:
Любой сетевой трафик, генерируемый самим устройством — проверка лицензии, скачивание обновлений, отправка журналов, отправка почтовых сообщений, SMS сообщений, SNMP трапов и т.п.
Действие правил NAT, DNAT, Port forwarding распространяются на все виртуальные маршрутизаторы.
Зоны глобальны, то есть настройки зоны, и принадлежность интерфейсов к зонам распространяются на все виртуальные маршрутизаторы.
ПримечаниеВиртуальный маршрутизатор по умолчанию необходим для корректной работы NGFW. Он используется для проверки лицензии, получения обновлений, работы DNS-служб.
Для добавления виртуального маршрутизатора необходимо выполнить следующие действия:
Примечание! Следующие префиксы не могут быть использованы для задания имени виртуального маршрутизатора: port, gre, egress, ingress, tun, tap, erspan, ppp, bond, bridge, pimreg.
Примечание!При создании виртуального маршрутизатора его имя не должно содержать заглавных букв, и должно иметь длину не менее трех символов.
Наименование
Описание
Шаг 1. Создать виртуальный маршрутизатор.
В разделе Сеть ➜ Виртуальные маршрутизаторы нажмите добавить и задайте имя и описание нового виртуального маршрутизатора. Укажите имя узла, на котором создается данный виртуальный маршрутизатор при наличии кластера.
Шаг 2. Добавить интерфейсы в созданный виртуальный маршрутизатор.
В закладке Интерфейсы укажите интерфейсы, которые должны быть помещены в данный виртуальный маршрутизатор. Интерфейсы, добавленные в другие виртуальные маршрутизаторы, не могут быть добавлены; любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов — физические, виртуальные (VLAN), бондинг, VPN и другие.
Добавьте маршруты (кроме маршрута по умолчанию), которые будут применены к трафику в данном виртуальном маршрутизаторе. Подробнее читайте в разделе Статические маршруты.
Маршрут по умолчанию добавляется в разделе Сеть ➜ Шлюзы. Подробнее о настройке шлюзов читайте в разделе Настройка шлюзов.
Шаг 4. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации OSPF (опционально).
Настройте протокол OSPF для построения динамической карты маршрутов. Более подробно смотрите раздел руководства OSPF.
Шаг 5. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации BGP (опционально).
Настройте протокол BGP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства BGP.
Шаг 6. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации RIP (опционально).
Настройте протокол RIP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства RIP.
Шаг 7. Настроить мультикастинг (опционально).
Настройте параметры мультикастинга в данном виртуальном маршрутизаторе. Более подробно смотрите раздел руководства Мультикастинг.
Статические маршруты
Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей. Маршрут применяется локально к тому узлу кластера и в тот виртуальный маршрутизатор, в котором он создается.
Для добавления маршрута необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выбрать виртуальный маршрутизатор.
При наличии нескольких виртуальных маршрутизаторов выберите необходимый.
Шаг 2. Задать название и описание данного маршрута.
В разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Статические маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута.
Шаг 3. Указать тип данного маршрута.
Возожно указать следующие типы маршрутов:
Unicast — стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.
Blackhole — трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.
Unreachable — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).
Prohibit — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).
Шаг 4. Указать адрес назначения.
Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172.16.20.5/32.
Шаг 5. Указать шлюз.
Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с NGFW.
Шаг 6. Указать интерфейс.
Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то NGFW сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов.
Шаг 7. Указать метрику.
Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько в данную сеть несколько.
Протоколы динамической маршрутизации
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. NGFW обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов.
Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно также просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически.
ПримечаниеЕсли в системе настроены статические шлюзы, то маршруты по умолчанию, полученные от протоколов динамической маршрутизации, игнорируются.
NGFW поддерживает работу трех протоколов маршрутизации — OSPF, BGP, RIP.
Внимание!Перед настройкой и использовании протоколов динамической маршрутизации необходимо задать соответствующие разрешения на вкладках Контроль доступа нужных зон.
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. NGFW обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно также просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации — вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол OSPF.
OSPF (Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.
Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы (АС). Подробно о работе протокола OSPF читайте в соответствующей технической документации.
ПримечаниеПри работе протокола OSPF в кластере отказоустойчивости в режиме Active-Passive, узел, который обладает ролью Slave, автоматически назначает стоимость для всех своих интерфейсов и для списков редистрибуции в 2 раза выше, чем установленная на узле стоимость. Тем самым обеспечивается приоритет Master-узла в маршрутизации трафика.
Для настройки OSPF в NGFW необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выбрать виртуальный маршрутизатор.
При наличии нескольких виртуальных маршрутизаторов выберите необходимый.
Шаг 2. Включить OSPF-роутер.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню OSPF и настройте OSPF-роутер.
При настройке OSPF-роутера необходимо указать следующие параметры:
Наименование
Описание
Включено
Включает или выключает использование данного OSPF-роутера.
Идентификатор роутера
IP-адрес роутера. Должен быть уникальным и задан в формате IPv4 (для удобства может совпадать с одним из IP-адресов, назначенным сетевым интерфейсам NGFW, относящимся к данному виртуальному маршрутизатору).
Redistribute
Распространять другим OSPF-роутерам маршруты в непосредственно подключенные к NGFW сети (connected) или статические маршруты, добавленные администратором для данного виртуального маршрутизатора (kernel).
Метрика
Установить метрику распространяемым маршрутам. Для задания метрики по-умолчанию укажите в этом поле значение 0. Метрика по-умолчанию для Мастер ноды кластера равна 20. Метрика по-умолчанию для запасной ноды равна 40.
Default originate
Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию.
При настройке интерфейсов OSPF укажите следующие параметры:
Наименование
Описание
Включено
Включает или отключает использование данного интерфейса.
Интерфейс
Выбор одного из существующих в системе интерфейсов, на котором будет работать OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор.
Стоимость
Стоимость канала данного интерфейса. Данное значение передается в LSA (объявления о состоянии канала, link-state advertisement) соседним маршрутизаторам и используется ими для вычисления кратчайшего маршрута. Значение по умолчанию 1.
Приоритет
Целое число от 0 до 255. Чем больше значение, тем выше шанс у маршрутизатора стать назначенным маршрутизатором (designated router) в сети для рассылки LSA. Значение 0 делает назначение для данного маршрутизатора невозможным. Значение по умолчанию 1.
Интервал hello
Время в секундах, через которое маршрутизатор посылает hello-пакеты. Это время должно быть одинаковым на всех маршрутизаторах в автономной системе. Значение по умолчанию 10 секунд.
Интервал dead
Интервал времени в секундах, по истечении которого соседний маршрутизатор считается неработающим. Время исчисляется от момента приема последнего пакета hello от соседнего маршрутизатора. Значение по умолчанию 40 секунд.
Интервал повторения
Устанавливает временный интервал перед повторной отсылкой пакета LSA. Значение по умолчанию 5 секунд.
Задержка передачи
Устанавливает примерное время, требуемое для доставки соседним маршрутизаторам обновления состояния каналов (link state). Значение по умолчанию 1 секунда.
Аутентификация
Вкл
Включает требование аутентификации каждого принимаемого роутером OSPF-сообщения. Аутентификация обычно используется для предотвращения инъекции фальшивого маршрута от нелегитимных маршрутизаторов.
Тип авторизации
Может быть:
Plain — передача ключа в открытом виде для аутентификации роутеров. Необходимо указать значение поля Ключ.
Digest — использование MD5-хеша для ключа для аутентификации OSPF-пакетов. Необходимо указать Ключ и MD5 key ID. Эти параметры должны быть идентичными на всех роутерах для нормальной работы.
Значение параметра Ключ может содержать только буквы латинского алфавита, цифры и символ подчёркивания. Максимальное количество символов — 16.
При настройке области OSPF укажите следующие параметры:
Наименование
Описание
Включено
Включает или отключает использование данной области.
Имя
Имя для данной области.
Стоимость
Стоимость LSA, анонсируемых в stub-области.
Идентификатор области
Идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Идентификатор области должен совпадать для установления соседства OSPF.
Тип авторизации
Может быть:
Нет — не требовать авторизацию OSPF-пакетов.
Plain — передача ключа в открытом виде для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.
Digest — использование MD5-хеша для ключа для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.
Идентификация на уровне интерфейсов имеет приоритет над авторизацией на уровне зоны.
Тип области
Определяет тип области. Поддерживаются следующие типы областей:
Нормальная — обычная зона, которая создается по умолчанию. Эта зона принимает обновления каналов, суммарные маршруты и внешние маршруты.
Тупиковая (Stub) — тупиковая зона, не принимает информацию о внешних маршрутах для автономной системы, но принимает маршруты из других зон. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию. В тупиковой зоне не может находиться ASBR.
NSSA — Not-so-stubby. Зона NSSA определяет дополнительный тип LSA — LSA type 7. В NSSA зоне может находиться пограничный маршрутизатор (ASBR).
Не суммировать
Запрещает инжекцию суммированных маршрутов в тупиковые типы областей.
Интерфейсы
Выбор интерфейсов OSPF, на которых будет доступна данная зона.
Виртуальные линки
Специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной через другую зону. Настраивается между двумя ABR.
Позволяет маршрутизаторам передать пакеты OSPF через виртуальные ссылки, инкапсулируя их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений.
Можно указать идентификаторы маршрутизаторов, которые доступны через данную зону.
BGP
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. NGFW обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно также просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол BGP.
BGP (Border Gateway Protocol) — динамический протокол маршрутизации, относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP — External Gateway Protocol). На текущий момент является основным протоколом динамической маршрутизации в интернете. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протоколы внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляет исходя из правил, принятых в сети. Подробно о работе протокола BGP читайте в соответствующей технической документации.
Для настройки BGP в NGFW необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выбрать виртуальный маршрутизатор.
При наличии нескольких виртуальных маршрутизаторов выберите необходимый.
Шаг 2. Включить BGP-роутер.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню BGP и настройте BGP-роутер.
Шаг 3. Задать фильтры и Routemap (опционально) для ограничения количества получаемых маршрутов.
В разделе Фильтры нажать на кнопку Добавить и настроить параметры Routemap/фильтров. Добавить столько Routemap/фильтров, сколько необходимо для работы BGP в вашей организации.
Шаг 4. Добавить хотя бы одного BGP-соседа (пира).
В разделе BGP-соседи нажать на кнопку Добавить и настроить параметры маршрутизатора, относящегося к соседней АС. Добавить столько соседей, сколько необходимо.
Важно! Согласно требованиям RFC-8212 для каждого соседа необходимо обязательно указать входящие и исходящие фильтры. Без входящих фильтров роутер не будет принимать маршруты с данного соседа, при отсутствии исходящих фильтров роутер не будет анонсировать маршруты на данного соседа.
Если интерфейсу NGFW, с которого устанавливается подключение к соседу, назначено несколько IP-адресов, то при настройке BGP-соседа, в случае отсутствия правила NAT, принудительно устанавливающего адрес источника для BGP-сессии с этим соседом, в качестве адреса NGFW необходимо указывать основной (primary) IP-адрес, т.е. адрес, который стоит первым в списке в настройках интерфейса.
При настройке BGP-роутера необходимо указать следующие параметры:
Наименование
Описание
Включено
Включает или отключает использование данного BGP-роутера.
Идентификатор роутера
IP-адрес роутера. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам NGFW, относящимся к данному виртуальному маршрутизатору.
Номер автономной системы (АС)
Автономная система — это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации. Номер автономной системы задает принадлежность роутера к этой системе.
Redistribute
Позволяет распространять другим BGP-маршрутизаторам маршруты в непосредственно подключенные к NGFW-сети (connected), статические маршруты, добавленные администратором для данного виртуального маршрутизатора (kernel), или маршруты, полученные по протоколу OSPF.
Multiple path
Включает балансировку трафика на маршруты с одинаковой стоимостью.
Сети
Список сетей, относящихся к данной АС.
Для добавления BGP-соседей нажмите кнопку Добавить и укажите следующие параметры:
Наименование
Описание
Включено
Включает или отключает использование данного соседа.
Host
IP-адрес соседа.
Описание
Произвольное описание соседа.
Удаленная ASN
Номер автономной системы, к которой относится сосед.
Вес
Вес данных маршрутов, получаемых от данного соседа.
TTL
Максимальное количество хопов, разрешенное до этого соседа.
Allowas-in
По-умолчанию BGP маршрутизатор отбрасывает маршрут если видит в AS path собственный номер автономной системы. Эта директива позволяет маршрутизатору нарушить данное правило. Номер — указывает количество раз, которое может встречаться в AS Path номер AS BGP-соседа. Возможны значения от 0 до 10 (0 — origin).
Анонсировать себя в качестве следующего перехода (next-hop-self) для BGP
Заменять значение next-hop-self на собственный IP-адрес, если сосед является BGP.
Multihop для eBPGP
Указывает, что до этого соседа непрямое соединение (более одного хопа).
Route reflector client
Указывает, является ли этот сосед клиентом Route reflector.
Soft reconfiguration
Использовать soft reconfiguration (без разрыва соединений) для обновления конфигурации.
Default originate
Анонсировать этому соседу маршрут по умолчанию.
Аутентификация
Включает аутентификацию для данного соседа и задает пароль для аутентификации.
Фильтры BGP-соседей
Ограничивает информацию о маршрутах, получаемых от соседей или анонсируемых к ним.
Routemaps
Routemaps используются для управления таблицами маршрутов и указания условий, при выполнении которых маршруты передаются между доменами.
Routemap позволяет фильтровать маршруты при перераспределении и изменять различные атрибуты маршрутов. Для создания routemap необходимо указать следующие параметры:
ВниманиеДля анонсирования маршрутов они должны присутствовать в таблице маршрутизации!
Наименование
Описание
Название
Имя для данного routemap.
Действие
Устанавливает действие для данного routemap, может принимать значения:
Разрешить — разрешает прохождение данных, попадающих под условия routemap.
Запретить — запрещает прохождение данных, попадающих под условия routemap.
Сравнивать по
Условия применения routemap, может принимать значения:
IP. Если выбрано данное условие, то в закладке IP-адреса надо добавить все необходимые IP-адреса для данного условия.
AS путь. Если выбрано данное условие, то в закладке AS-путь надо добавить все необходимые номера автономных сетей для данного условия. Допускается указывать регулярные выражения формата POSIX 1003.2, а также дополнительный символ подчеркивания (_), который интерпретируется как:
Пробел.
Запятая.
Начало строки.
Конец строки.
AS set delimiter { and }.
AS confederation delimiter ( and ).
Community. Если выбрано данное условие, то в закладке Community надо добавить строки всех необходимых BGP community для данного условия.
Установить next hop
Установить для отфильтрованных маршрутов значение next hop в указанный IP-адрес.
Установить вес
Установить для отфильтрованных маршрутов вес в указанное значение.
Установить метрику
Установить для отфильтрованных маршрутов метрику в указанное значение.
Установить предпочтение
Установить для отфильтрованных маршрутов предпочтение в указанное значение.
Установить AS-prepend
Установить значение AS-prepend — список автономных систем, добавляемых для данного маршрута.
Community
Установить значение для BGP community для отфильтрованных маршрутов.
Фильтр позволяет фильтровать маршруты при перераспределении. При создании фильтров необходимо указать следующие параметры:
Наименование
Описание
Название
Имя для данного фильтра.
Действие
Устанавливает действие для данного фильтра, может принимать значения:
Разрешить — разрешает прохождение данных, попадающих под условия фильтра.
Запретить — запрещает прохождение данных, попадающих под условия фильтра.
Фильтровать по
Условия применения фильтра, может принимать значения:
IP. Если выбрано данное условие, то в закладке IP-адреса надо добавить все необходимые IP-адреса для данного условия. Адреса могут быть указаны в следующих форматах:
10.0.0.0/8 — только сеть 10.0.0.0/8.
10.0.0.0/8::11 — маршруты, у которых первый октет 10 и префикс от 8 до 11.
10.0.0.0/8:11:13 — маршруты, у которых первый октет 10 и префикс от 11 до 13.
AS путь. Если выбрано данное условие, то в закладке AS-путь надо добавить все необходимые номера автономных сетей для данного условия.
RIP
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. NGFW обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно также просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол RIP.
RIP (Routing Information Protocol) — протокол дистанционно-векторной маршрутизации, который оперирует транзитными участками (хоп, hop) в качестве метрики маршрутизации. Подробно о работе протокола RIP читайте в соответствующей технической документации.
Для настройки RIP в NGFW необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Выбрать виртуальный маршрутизатор.
При наличии нескольких виртуальных маршрутизаторов выберите необходимый.
Шаг 2. Включить RIP-роутер.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню RIP и настройте RIP-роутер.
Шаг 3. Указать сети RIP.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню RIP и укажите сети RIP, для которых будет работать RIP протокол.
Шаг 4. Настройте интерфейсы RIP.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню RIP и произведите настройку интерфейсов RIP.
При настройке RIP-роутера необходимо указать следующие параметры:
Наименование
Описание
Включено
Включает или выключает использование данного RIP-роутера.
Версия RIP
Определяет версию протокола RIP. Как правило используется версия протокола 2.
Метрика по умолчанию
Стоимость маршрута. Обычно метрика равна 1 и не может превышать 15.
Административное расстояние
Стоимость маршрутов, полученных с помощью протокола RIP. Значение по умолчанию для протокола RIP — 120. Используется для выбора маршрутов при наличии нескольких способов получения маршрутов (OSPF, BGP, статические).
Отправлять себя в качестве маршрута по умолчанию
Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию.
Маршрутизатор RIP будет слать обновления маршрутной информации только с интерфейсов, для которых заданы сети RIP. Необходимо указать как минимум одну сеть для корректной работы протокола. При настройке сетей RIP администратор может указать сеть в виде CIDR, например, 192.168.1.0/24, либо указать сетевой интерфейс, с которого будут отправлять обновления.
При настройке интерфейсов RIP укажите следующие параметры:
Наименование
Описание
Интерфейс
Выберите интерфейс, который будет использоваться для работы протокола RIP. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор.
Посылать версию
Укажите версию протокола RIP, которую маршрутизатор будет отсылать.
Принимать версию
Укажите версию протокола RIP, которую маршрутизатор будет принимать.
Пароль
Строка для авторизации, которая будет посылаться и приниматься в пакетах RIP. Все роутеры, участвующие в обмене информации по протоколу RIP, должны иметь одинаковый пароль.
Split horizon
Метод предотвращения петель маршрутизации, при котором маршрутизатор не распространяет информацию о сети через интерфейс, на который прибыло обновление.
Poison reverse
Метод предотвращения петель маршрутизации, при котором маршрутизатор устанавливает стоимость маршрута в 16 и отсылает его соседу, от которого его получил.
Пассивный режим
Устанавливает режим работы интерфейса, при котором он принимает обновления RIP, но не отсылает их.
Параметры редистрибуции маршрутов позволяют указать какие из маршрутов необходимо отправлять соседям. Возможно задать для редистрибуции маршруты, полученные через протоколы динамической маршрутизации OSPF, BGPG, а также маршруты в непосредственно подключенные к NGFW сети (connected) или маршруты, добавленные администратором в разделе Маршруты (kernel).
Мультикастинг
Технология IP мультикастинга позволяет существенно сократить передаваемый объем трафика, доставляя единый поток информации одновременно к тысячам и более потребителей, что особенно эффективно для доставки голосового и видео трафика. Традиционные методы доставки трафика — это unicast (доставка от точки к точке) и broadcast (широковещательная посылка трафика). Мультикастинг (multicast) позволяет доставить трафик к группе хостов (мультикаст-группа). Хосты (получатели), которые хотят получать данный трафик, должны вступить (присоединиться) к соответствующей мультикаст-группе. Для присоединения хостов к мультикаст-группе используется протокол Internet Group Management Protocol (IGMP). Мультикаст-группа идентифицируется групповым адресом. Для мультикастовых адресов выделена подсеть класса D с верхними 4 битами, установленными в 1110. Таким образом диапазон адресов для мультикаст-трансляций определен как 224.0.0.0 — 239.255.255.255.
Далее маршрутизаторы должны обеспечить эффективную доставку трафика от источника трансляции к получателям. Protocol Independent Multicast (PIM) используется на маршрутизаторах для достижения данной цели.
Маршрутизаторы в мультикастинговой среде можно разделить на First Hop Router (FHR), Rendezvous Point (RP), Last Hop Router (LHR). FHR находится ближе всего к источнику трансляции и отвечает за регистрацию источника трансляции в сети. RP является каталогом доступных мультикаст-источников для Any Source Multicast (ASM) режима. LHR находится ближе всего к приемнику мультикаст-трансляции. Клиенты (приемники трансляции) в локальных сетях, подключенных к LHR, используют протокол IGMP для регистрации себя в необходимой мультикаст-группе, посылая сообщение IGMP membership report.
NGFW может быть использован в качестве LHR для локальных сетей, подключенных к нему. Для регистрации клиентов (приемников) NGFW поддерживает протоколы IGMPv3 и IGMPv2.
Для взаимодействия с другими мультикаст-маршрутизаторами NGFW может использовать только режим работы PIM Sparse Mode (PIM-SM). Это режим, в котором мультикаст-трафик отсылается только на те приемники, которые явно запросили это. Приемники должны периодически подтверждать свое желание получать мультикаст-трафик.
NGFW поддерживает режимы работы Source Specific Multicast (SSM) и Any Source Multicast (ASM).
Режим работы Source Specific Multicast (SSM) используется, когда приемник трафика явно указывает известный ему адрес источника трансляции. В данном режиме используется следующая адресация:
rtp://<src_ip>@<group_address>:<port>
где src_ip — адрес источника трансляции, group_address — мультикастовый групповой адрес, port — порт. Например:
rtp://10.10.10.10@239.0.0.5:4344
Режим работы Any Source Multicast (ASM). В этом режиме приемник трансляции указывает мультикаст-группу, с которой хочет получать трансляцию. Для работы данного режима необходимо наличие маршрутизатора с ролью Rendezvous Point (RP). RP определяет источник трансляции для этой группы для данного приемника. После чего источник и приемник выбирают лучший сетевой путь для пересылки данного мультикаст-трафика. В данном режиме используется следующая адресация:
rtp://@<group_address>:<port>
где group_address — мультикастовый групповой адрес, port — порт. Например:
rtp://@239.0.0.5:4344
Для настройки работы NGFW в качестве LHR мультикаст-роутера необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Настроить мультикаст-роутер.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Мультикаст маршрутизатор и настройте его.
Шаг 2. Указать интерфейсы, на которых должен работать данный роутер.
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Интерфейсы и произведите настройку интерфейсов. Будут доступны только те интерфейсы, которые относятся к данному виртуальному маршрутизатору.
Шаг 3. Задать Rendezvous points для режима ASM (опционально).
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите их адреса.
Шаг 4. Установить необходимые ограничения на доступные мультикаст-группы для режима ASM (опционально).
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите адреса разрешенных мультикаст-групп в закладке Разрешенные группы ASM. Если оставить этот список пустым, то будут разрешены все групповые адреса.
Шаг 5. Установить необходимые ограничения на доступные мультикаст-группы для режима SSM (опционально).
В консоли NGFW в разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Разрешенные группы SSM и укажите адреса разрешенных мультикаст-групп Если оставить этот список пустым, то будут разрешены все групповые адреса.
При настройке мультикаст роутера возможно указать следующие параметры:
Наименование
Описание
Включено
Включает или выключает мультикаст роутер в данном виртуальном маршрутизаторе.
Использовать ECMP
Разрешает распределение трафика по нескольким маршрутам по технологии Equal Cost Multi Path (ECMP). Требуется наличие нескольких маршрутов до необходимого сетевого узла. Если данная опция отключена, то весь трафик на определенный хост назначения будет пересылаться только через один из роутеров (next hop).
Использовать ECMP rebalance
Если при включенной опции один из интерфейсов, через который отсылался трафик, отключился, то все существующие потоки будут перераспределены между оставшимися маршрутами (next hop). При отключенной опции перераспределяются только те потоки, которые передавались через отключенный интерфейс.
JOIN/PRUNE интервал
Интервал в секундах (60-600) отправки сообщений соседям PIM о мультикаст-группах, трафик которых маршрутизатор хочет принимать или более не хочет принимать.
Интервал register suppress
Интервал в секундах (5-60000), после которого маршрутизатор отсылает сообщение register suppress.
Keep-alive таймер
Интервал в секундах (31-60000), через который маршрутизатор будет посылать сообщения keepalive соседям, а также интервал, который маршрутизатор будет ждать, прежде чем будет считать соседа недоступным.
При настройке интерфейсов можно задать следующие параметры:
Наименование
Описание
Включено
Включает или отключает использование данного интерфейса для мультикастинга.
Интерфейс
Выберите интерфейс, который будет использоваться для работы мультикаста. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор.
Интервал отправки HELLO сообщений
Интервал отправки PIM HELLO сообщений в секундах (1-180). PIM Hello сообщения отправляются периодически со всех интерфесов, для которых включена поддержка мультикастинга. Эти сообщения позволяют узнать маршрутизатору о соседних маршрутизаторах, поддерживающих мультикастинг.
Приоритет выбора DR
Приоритет при выборе Designated router (DR) от 1 до 4294967295, с помощью которого администратор может управлять процессом выбора DR для локальной сети.
Принимать IGMP
Принимать сообщения IGMP report и IGMP query на данном интерфейсе.
Использовать IGMPv2
Использовать версию IGMP v2, по умолчанию используется IGMP v3.
При настройке Rendevouz points можно указать следующие параметры:
Наименование
Описание
Включено
Включает или отключает данный RP.
Название
Название данного RP.
IP-адрес
Unicast IP-адрес данного RP.
Разрешенные руппы ASM
Список разрешенных групповых адресов для any source multicast с данного RP. Любые сети из диапазона 224.0.0.0/4. Нет ограничений, если ничего не задано.
Разрешенные группы SSM — настройка мультикаст роутера, определяющая список разрешенных групповых адресов для source specific multicast. Могут быть укзаны любые сети из диапазона 232.0.0.0/8. Нет ограничений, если ничего не задано.
Исключения из SPT — настройка мультикаст роутера, задающая список IPv4 мультикаст-групп, исключенных из переключения на shortest path tree.