Настройка статической маршрутизации

ID статьи: 26
Последнее обновление: 02 авг, 2022
KnowledgeBase:
Product: UserGate NGFW
Version: 6.1.8, 6.1.9

image318

Необходимо настроить статическую маршрутизацию между подсетями с IP-адресами 10.10.10.0/24 и 10.0.0.0/24.

Для добавления статического маршрута перейдите в раздел Сеть ➜ Виртуальный маршрутизаторы. Далее можно создать виртуальный маршрутизатор или использовать маршрутизатор, созданный по умолчанию (виртуальный маршрутизатор по умолчанию).

Чтобы создать виртуальный маршрутизатор нажмите Добавить. Во вкладке Общие свойств виртуального маршрутизатора задайте:

  • Название виртуального маршрутизатора.

  • Описание (опционально).

  • Имя узла: если узел входит в состав кластера, выберите узел, на котором будет создан виртуальный маршрутизатор.

image319

Перейдите во вкладку Интерфейсы и выберите интерфейсы, которые необходимо добавить в виртуальный маршрутизатор (интерфейсы, добавленные в другие виртуальные маршрутизаторы, не могут быть добавлены; интерфейс может принадлежать только одному виртуальному маршрутизатору):

image320

Дальнейшая настройка UserGate не зависит от того, какой виртуальный маршрутизатор используется (виртуальный маршрутизатор по умолчанию или созданный вами).

Откройте свойства маршрутизатора и выберите Статические маршруты.

image321

Далее нажмите Добавить и заполните необходимы поля:

  • Отметьте чекбокс Включено.

  • Название статического маршрута.

  • Описание (опционально).

  • Тип маршрута: выберите необходимы тип маршрута:

    • Unicast - стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.

    • Blackhole - трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.

    • Unreachable - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).

    • Prohibit - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).

  • Адрес назначения: укажите IP-адрес сети назначения маршрута (в примере 10.0.0.0/24).

  • Шлюз: укажите IP-адрес шлюза, через который будет доступна указанная ранее подсеть. Указанный IP-адрес должен быть доступен с сервера UserGate (в примере: 1.1.1.2).

  • Интерфейс: укажите интерфейс, через который будет добавлен маршрут. Можно оставить значение Автоматически, тогда UserGate самостоятельно определит интерфейс исходя из сетевых настроек.

  • Метрика: если маршрутов в данную сеть несколько, то задайте метрику маршрута; чем меньше метрика, тем приоритетней маршрут.

image322

Аналогично, добавьте маршрут на другом узле UserGate, изменив Адрес назначения (на 10.10.10.0/24) и Шлюз (на 1.1.1.1).

image323

Просмотр добавленных маршрутов доступен во вкладке Диагностика и мониторинг в разделе Мониторинг ➜ Маршруты.

На первом узле (для настройки использовался виртуальный маршрутизатор по умолчанию):

image324

На втором узле (для настройки использовался виртуальный маршрутизатор по умолчанию):

image325

Как видно из рисунков, представленных выше, UserGate самостоятельно определил интерфейс, через который был добавлен маршрут.

Проверка корректности настройки статической маршрутизации между подсетями производилась с помощью утилиты ping (вкладка Диагностика и мониторинг раздел Сеть ➜ Ping):

image326

Для прохождения трафика между локальными сетями необходимо настроить правило межсетевого экрана. Для этого перейдите в раздел Политики сети ➜ Межсетевой экран, нажмите Добавить и укажите во вкладке Общие:

  • Название правила межсетевого экрана.

  • Действие: Разрешить.

Во вкладке Источник укажите зону источника Trusted; во вкладке Назначение – зону Untrusted.

Можно использовать правило, созданное по умолчанию, Allow trusted to Untrusted.

image327

image328

image329

Если необходимо разрешить прохождение трафика между виртуальными маршрутизаторами, то необходимо в статических маршрутах виртуального маршрутизатора добавить маршрут, указав сеть назначения и интерфейс устройства UserGate, через который данная сеть доступна.

Для примера создадим виртуальный маршрутизатор test и добавим интерфейс port3, к которому подключена LAN с IP-адресом 10.10.0.0/24.

image330

Чтобы разрешить трафик между двумя виртуальными маршрутизаторами, необходимо создать маршруты со следующими параметрами.

В виртуальном маршрутизаторе по умолчанию:

  • Адрес назначения: укажите IP-адрес сети назначения (в примере 10.10.0.0/24).

  • Шлюз: шлюз не указывается.

  • Интерфейс: укажите интерфейс, через который будет добавлен маршрут (в примере port3).

image331

В виртуальном маршрутизаторе test:

  • Адрес назначения: укажите IP-адрес сети назначения (в примере 10.10.10.0/24).

  • Шлюз: шлюз не указывается.

  • Интерфейс укажите интерфейс, через который будет добавлен маршрут (в примере port1).

image332

В разделе Политики сети ➜ Межсетевой экран необходимо настроить правило, разрешающее трафик из зоны интерфейса port1 в зону интерфейса port3 (в примере из зоны Trusted в зону Trusted).

Проверка прохождения трафика между устройствами локальных сетей 10.10.10.0/24 и 10.10.0.0/24:

image333

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 26
Последнее обновление: 02 авг, 2022
Ревизия: 3
Просмотры: 4574
Комментарии: 0
Теги