...
|
Маршрутизация
 ЗадачаНе создается виртуальный маршрутизатор РешениеВ названии VRF нельзя использовать русские буквы, заглавные буквы, а также оно не должно содержать имена интерфейсов, например port1 или tunnel1. Подробнее... ВопросПри использования явного прокси будет ли явный прокси использовать для маршрутизации наружу только основной шлюз? Будут ли правила PBR учитываться в работе явного прокси? ОтветПравила PBR применяются к соединениям устанавливаемым через явный прокси, IP и зона источника в них также работают. Подробнее об алгоритме обработки трафика в UserGate читайте в статье UserGate NGFW 6 packet flow. ЗадачаНе удаётся создать 2 моста L2 и L3 на одном устройстве. РешениеЭто ограничения архитектуры. Мосты L2 и L3 отличаются возможностью использовать интерфейс моста L3 для исходящего трафика самого устройства и, как недостаток описанного выше, необходимостью иметь на устройстве полную таблицу маршрутизации для проходящего через мост L3 клиентского трафика; использование моста L2 требует также наличия интерфейсов L3 для связи устройства с внешними серверами. ПримечаниеРабота в режиме Мост ничем не отличается от работы в режиме маршрутизации трафика, но нужно учитывать, что в правилах межсетевого экрана необходимо указать одинаковые зону источника и зону назначения.
Для решения поставленной задачи, т.е. создания аналога конфигурации с мостами L2 и L3 одновременно, необходимо:
Примечение Схема организации связи не должна быть организована так, чтобы трафик мог проходить через устройство дважды без смены адресов/портов источника/назначения.
ЗадачаДва устройства UserGate NGFW настроены на работу в кластере отказоустойчивости в режиме Актив-Пассив.
Адресация на интерфейсах, использующихся для выхода в Интернет:
Необходимо произвести настройку, чтобы для отправки трафика в сеть Интернет UserGate использовал виртуальный адрес IP_address3. РешениеНеобходимо настроить правило типа NAT. Для этого перейдите в раздел Политики сети ➜ NAT и маршрутизация веб-интерфейса управления, нажмите Добавить и укажите следующие условия:
ЗадачаОбъединить несколько сетей с помощью VPN site-to-site. РешениеДля решения этой задачи необходимо настроить VPN тунель между граничными устройствами. В качестве таких устройств могут выступать UserGate NGFW, маршрутизаторы типа MikroTik и др. Посмотреть настройки VPN site-to-site можно здесь или здесь. Внимание! Плохой идеей будет использование разных VPN подключений для каждой сети, при наличии единого маршрутизатора для этих сетей.
После настройки VPN туннеля необходимо будет прописать маршруты для объединяемых сетей. Например, для случая на следующей схеме:
маршруты будут выглядеть следующим образом: На устройстве с адресом 172.30.255.1:
На устройстве с адресом 172.30.255.2:
Где: 172.30.255.1 и 172.30.255.2 - адреса VPN интерфейсов граничных устройств, имена интерфейсов взяты для примера и их нужно поменять соответственно вашей рабочей схеме сети. Метрика - отвечает за приоритет маршрута и может быть любой, в общем случае можно оставить значение 0. Номера сетей вида 10.х.х.х нужно заменить на соответствующие вашей рабочей схеме.
ЗадачаПри использовании VRF некоторые сервисы становятся недоступными. РешениеЧаще всего проблема заключается в маршрутах до искомых сервисов. Надо иметь в виду, что сервисы ПО\HW UserGate запускаются в VRF "Маршрутизаторе по-умолчанию"(Default VRF), и необходимо внимательно следить за передачей маршрутов между виртуальными маршрутизаторами. Маршруты необходимо передавать в обе стороны(прямой и обратный). |
