|
|
Данный раздел находится на уровне network zone. Команда для создания новой зоны:
Admin@UGOS# create network zone
Далее необходимо указать параметры зоны:
|
Параметр
|
Описание
|
|
name
|
Название зоны.
|
|
description
|
Описание зоны.
|
|
dos-protection-syn
|
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то NGFW отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
dos-protection-udp
|
Защита зоны от сетевого флуда для протокола UDP:
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то NGFW отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
dos-protection-icmp
|
Защита зоны от сетевого флуда для протокола ICMP:
-
enabled: включение/отключение защиты.
-
aggregate:
-
on — считаются все пакеты, входящие в интерфейсы данной зоны.
-
off — пакеты считаются отдельно для каждого IP-адреса.
-
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
-
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то NGFW отбрасывает пакеты и записывает данное событие в системный журнал.
-
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
|
|
enabled-services
|
Параметры контроля доступа зоны:
-
"Any ICMP": разрешение использования команды ping адреса NGFW.
-
SNMP: доступ к NGFW по протоколу SNMP (UDP 161).
-
response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).
-
rpc: XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).
-
ha: сервис, необходимый для объединения нескольких узлов NGFW в кластер (TCP 4369, TCP 9000-9100).
-
VRRP: сервис, необходимый для объединения нескольких узлов NGFW в отказоустойчивый кластер (IP протокол 112).
-
"Admin Console": доступ к веб-консоли управления (TCP 8001).
-
DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).
-
"HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).
-
"Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
-
"SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
-
"POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
-
"CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
-
VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
-
SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.
-
"REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.
-
"PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.
-
"SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках NGFW.
-
"Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный узел в качестве LogAn (TCP 2023 и 9713).
-
"Dynamic routing OSPF": сервис динамической маршрутизации OSPF.
-
"Dynamic routing BGP": сервис динамической маршрутизации BGP.
-
"SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).
-
"SSH Proxy": сервис, использующийся для инициирования трафика SSH.
-
Multicast: сервис мультикастинга.
-
NTP: доступ к сервису точного времени, запущенному на NGFW.
-
"Dynamic routing RIP": сервис динамической маршрутизации RIP.
|
|
service-addresses
|
Указание разрешённых IP-адресов для сервисов:
|
|
antispoof-enabled
|
Включение/отключение защиты от IP-спуфинга:
|
|
ip-spoofing-networks
|
Указание IP-адресов источников, допустимых в данной зоне; адреса указываются в формате <ip> или <ip/mask>. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.
|
|
antispoof-negate
|
Возможные значения:
При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников.
|
Для обновления параметров зоны:
Admin@UGOS# set network zone <zone-name>
Для добавления новых сервисов к списку сервисов, разрешённым ранее используйте команду:
Admin@UGOS# set network zone <zone-name> ... enabled-services + [ <service-name> ... ] ...
Команда удаления зоны или её параметров:
Admin@UGOS# delete network zone <zone-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
dos-protection-syn
|
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
|
|
dos-protection-udp
|
Защита зоны от сетевого флуда для протокола UDP:
|
|
dos-protection-icmp
|
Защита зоны от сетевого флуда для протокола ICMP:
|
|
enabled-services
|
Параметры контроля доступа зоны:
-
"Any ICMP": разрешение использования команды ping адреса UserGate.
-
SNMP: доступ к UserGate по протоколу SNMP (UDP 161).
-
response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).
-
rpc: XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).
-
ha: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).
-
VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).
-
"Admin Console": доступ к веб-консоли управления (TCP 8001).
-
DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).
-
"HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).
-
"Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
-
"SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
-
"POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
-
"CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
-
VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
-
SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.
-
"REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.
-
"PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.
-
"SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках UserGate.
-
"Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный узел в качестве Log analyzer (TCP 2023 и 9713).
-
"Dynamic routing OSPF": сервис динамической маршрутизации OSPF.
-
"Dynamic routing BGP": сервис динамической маршрутизации BGP.
-
"SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).
-
"SSH Proxy": сервис, использующийся для инициирования трафика SSH.
-
Multicast: сервис мультикастинга.
-
NTP: доступ к сервису точного времени, запущенному на NGFW.
-
"Dynamic routing RIP": сервис динамической маршрутизации RIP.
|
|
service-addresses
|
Разрешённые IP-адреса для сервисов:
|
|
ip-spoofing-networks
|
При использовании защиты от IP-спуфинга администратор может указать IP-адреса источников, допустимых в данной зоне; адреса указываются в формате <ip> или <ip/mask>. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.
|
Следующая команда отобразит настройки зоны:
Admin@UGOS# show network zone <zone-name>
Список упорядоченных имён сетевых интерфейсов и соответствующие им физические адреса доступен для отображения при выполнении команды (команда доступна и в режиме диагностики и мониторинга и в режиме конфигурации):
Admin@UGOS> show network interface-mapping
Admin@UGOS# show network interface-mapping
Упорядочивание интерфейсов производится в соответствии с номером порта в шине PCI.
Для удаления списка используйте следующие команды в режиме диагностики и мониторинга и в режиме конфигурации соответственно:
Admin@UGOS> clear network interface-mapping
Admin@UGOS# delete network interface-mapping
После перезагрузки NGFW список обновится и станет доступным для отображения. Эту операцию необходимо выполнять после добавления сетевых портов в настроенный аплаенс UserGate.
Далее будет рассмотрена настройка интерфейсов, которая производится на уровне network interface.
Настройка adapter
Сетевые адаптеры настраиваются на уровне network interface adapter.
Создать сетевой адаптер нельзя. Для обновления существующего сетевого адаптера:
Admin@UGOS# set network interface adapter
Далее необходимо указать параметры сетевого адаптера:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение сетевого интерфейса:
|
|
description
|
Описание сетевого интерфейса.
|
|
iface-type
|
Тип интерфейса:
-
l3: интерфейс, работающий в режиме Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).
-
mirror: интерфейс, работающий в режиме Mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа).
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_pvlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_pvlan — NGFGW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# set network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
lldp-profile
|
Профиль для отправки данных по протоколу Link Layer Discovery Protocol (LLDP). Подробнее о настройке профилей читайте в разделе Настройка профилей LLDP.
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размера MTU.
|
|
dhcp-relay
|
Настройка работы DHCP-релея на интерфейсе. Необходимо указать:
-
enabled: включение/отключения релея:
-
utm-address: IP-адрес интерфейса NGFW, на который добавляется функция релея (принимает значения <ip | none>).
-
server-address: адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
|
Команда удаления адаптера или его параметров:
Admin@UGOS# delete network interface adapter <adapter-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
Команда для отображения информации о всех сетевых адаптерах:
Admin@UGOS# show network interface adapter
Для отображения информации об адаптере:
Admin@UGOS# show network interface adapter <adapter-name>
Настройка VLAN
Интерфейсы VLAN настраиваются на уровне network interface vlan.
Команда для добавления нового VLAN-интерфейса:
Admin@UGOS# create network interface vlan
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение VLAN-интерфейса:
|
|
description
|
Описание интерфейса.
|
|
iface-type
|
Тип интерфейса:
-
l3: Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).
-
mirror: интерфейс, работающий в режиме Mirror (может получать трафик со SPAN-порта сетевого оборудования для его анализа).
|
|
tag
|
Тег VLAN. Допускается создание до 4094 интерфейсов.
|
|
node-name
|
Имя узла кластера, на котором создаётся VLAN.
|
|
interface
|
Физический интерфейс, на котором создается VLAN.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размера MTU.
|
|
dhcp-relay
|
Настройка работы DHCP-релея на интерфейсе. Необходимо указать:
-
enabled: включение/отключения релея:
-
utm-address: IP-адрес интерфейса UserGate, на который добавляется функция релея.
-
server-address: адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
|
Обновление существующего VLAN:
Admin@UGOS# set network interface vlan <vlan-name>
Параметры, доступные для обновления, аналогичны параметрам создания VLAN, кроме tag, node-name, interface (изменение значений этих параметров недоступно).
Команда удаления VLAN-интерфейса или его параметров:
Admin@UGOS# delete network interface vlan <vlan-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
Чтобы отобразить информацию о всех интерфейсах VLAN:
Admin@UGOS# show network interface vlan
или об определённом интерфейсе:
Admin@UGOS# show network interface vlan <vlan-name>
Настройка bond-интерфейса
Настройка бонд-интерфейса производится на уровне network interface bond.
Команда для создания бонд-интерфейса:
Admin@UGOS# create network interface bond
Параметры, которые необходимо указать:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение интерфейса:
|
|
description
|
Описание интерфейса.
|
|
node-name
|
Узел кластера, на котором будет создан бонд-интерфейс.
|
|
zone
|
Зона, которой будет принадлежать бонд.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в имени интерфейса (например 1, тогда название созданного интерфейса будет bond1).
|
|
bonding
|
Дополнительные параметры бонд-интерфейса:
-
aggr-mode — режим работы бонда:
-
round-robin: режим Round robin (пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости).
-
active-backup: режим Active backup (только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Данная политика применяется для обеспечения отказоустойчивости).
-
xor: режим XOR (передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и обеспечения отказоустойчивости).
-
broadcast: режим Broadcast (передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости).
-
802.3ad: режим IEEE 802.3ad (режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику).
-
transmit: режим Adaptive transmit load balancing (исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты).
-
load: режим Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.
-
mii-monitoring: периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов.
-
down-delay: время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon.
-
up-delay: время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon.
-
lacp-rate: интервал, с которым будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
-
failover-mac: определение способа назначения MAC-адресов на объединенные интерфейсы в режиме Active backup при переключении интерфейсов. Возможные значения:
-
disabled: устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.
-
active: MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа.
-
follow: MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном.
-
xmit-hash: определение хэш-политики передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
-
l2: использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.
-
l2-3: использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad.
-
l3-4: используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы.
-
interface: интерфейсы, которые будут объединены в бонд.
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размер MTU.
|
|
dhcp-relay
|
Настройка работы DHCP-релея на интерфейсе. Необходимо указать:
-
enabled: включение/отключения релея:
-
utm-address: IP-адрес интерфейса NGFW, на который добавляется функция релея.
-
server-address: адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
|
Обновление существующего бонд-интерфейса:
Admin@UGOS# set network interface bond <bond-name>
Параметры, доступные для обновления, аналогичны параметрам создания бонд-интерфейс, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Команда удаления бонд-интерфейса или его параметров:
Admin@UGOS# delete network interface bond <bond-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
|
bonding interface
|
Интерфейсы, объединённые в бонд.
|
Чтобы отобразить информацию о всех бонд-интерфейсах:
Admin@UGOS# show network interface bond
или об определённом интерфейсе:
Admin@UGOS# show network interface bond <bond-name>
Настройка bridge-интерфейса
Настройка моста производится на уровне network interface bridge.
Чтобы добавить новый bridge-интерфейс:
Admin@UGOS# create network interface bridge
Параметры, которые необходимо указать:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение моста:
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в имени интерфейса (например 1, тогда название созданного интерфейса будет bridge1).
|
|
description
|
Описание bridge-интерфейса.
|
|
node-name
|
Имя узла кластера, на котором создаётся мост.
|
|
zone
|
Зона, которой будет принадлежать мост.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
bridging
|
Дополнительные параметры моста:
-
iface-type: режим работы интерфейса:
-
l2: Layer 2 (создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Mail security; контентная фильтрация в этом режиме работает).
-
l3: Layer 3 (можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса).
-
interface: интерфейсы, которые будут использованы для создания моста.
-
stp: включение/отключение использование STP (Spanning Tree Protocol) для защиты от петель:
-
forward-delay: задержка перед переключением моста в активный режим (Forwarding), в случае если включен STP (указывается в секундах).
-
max-age: время, по истечении которого STP-соединение считается потерянным (указывается в секундах).
-
bypass-pair: пара интерфейсов, которая будет использована для построения байпас моста. Требуется поддержка оборудования ПАК NGFW.
|
|
iface-mode
|
Режим назначения IP-адреса:
Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mac
|
MAC-адрес интерфейса.
|
|
mtu
|
Указание размера MTU.
|
|
dhcp-relay
|
Настройка работы DHCP-релея на интерфейсе. Необходимо указать:
-
enabled: включение/отключения релея:
-
utm-address: IP-адрес интерфейса NGFW, на который добавляется функция релея.
-
server-address: адреса серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
|
Обновление существующего bridge-интерфейса:
Admin@UGOS# set network interface bridge <bridge-name>
Параметры, доступные для обновления, аналогичны параметрам создания моста, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Команда удаления bridge-интерфейса или его параметров:
Admin@UGOS# delete network interface bridge <bridge-name>
Параметры, доступные для удаления:
|
Параметр
|
Описание
|
|
ip-addresses
|
Заданный IP-адрес.
|
|
dhcp-relay server-address
|
IP-адрес сервера DHCP.
|
Чтобы отобразить информацию о всех bridge-интерфейсах:
Admin@UGOS# show network interface bridge
или об определённом интерфейсе:
Admin@UGOS# show network interface bridge <bridge-name>
Настройка PPPoE
Настройка интерфейса PPPoE производится на уровне network interface PPPoE.
Для создания интерфейса PPPoE:
Admin@UGOS# network interface PPPoE
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение интерфейса PPPoE:
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в имени интерфейса (например 1, тогда название созданного интерфейса будет ppp1).
|
|
description
|
Описание интерфейса PPPoE.
|
|
node-name
|
Имя узла кластера, на котором создаётся интерфейс.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
pppoe-config
|
Дополнительные параметры PPPoE интерфейса:
-
interface: интерфейс, на котором будет создаваться интерфейс PPPoE.
-
login: имя пользователя для соединения PPPoE.
-
password: пароль пользователя для соединения PPPoE.
-
persist-connection: автоматическое переподключение при обрыве связи:
-
auth-type: тип авторизации:
-
holdoff: интервал времени в секундах после разрыва соединения перед повторным запуском.
-
default-route: интерфейс PPPoE в качестве маршрута по умолчанию:
-
lcp-echo-interval: интервал проверки соединения.
-
lcp-echo-failure: количество неуспешных проверок соединения, после которого UserGate считает, что соединение отсутствует и разрывает его.
-
providers-dns: использование DNS-серверов, выданных провайдером:
-
connection-attempts: количество неуспешных попыток подключения, после которых попытки автосоединения будут прекращены.
-
service-name: имя сервиса необходимо прописывать в случае предоставления провайдером.
|
|
mtu
|
Указание размера MTU. По умолчанию установлено значение 1492 байт, подходящее для стандартного размера кадра Ethernet.
|
Обновление существующего интерфейса PPPoE:
Admin@UGOS# set network interface PPPoE <PPPoE-name>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-name (изменение значения этого параметра недоступно).
Команда удаления интерфейса PPPoE:
Admin@UGOS# delete network interface PPPoE <PPPoE-name>
Чтобы отобразить информацию о всех интерфейсах PPPoE:
Admin@UGOS# show network interface PPPoE
или об определённом интерфейсе:
Admin@UGOS# show network interface PPPoE <PPPoE-name>
Настройка VPN-адаптера
VPN-адаптеры настраиваются на уровне network interface vpn.
Чтобы создать VPN-адаптер:
Admin@UGOS# network interface vpn
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение VPN-интерфейса:
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в имени интерфейса (например 1, тогда название созданного интерфейса будет tunnel1).
|
|
description
|
Описание VPN-интерфейса.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
netflow-profile
|
Профиль NetFlow для отправки статистических данных на NetFlow коллектор. Подробнее о настройке профилей NetFlow читайте в разделе Настройка профилей NetFlow.
|
|
iface-mode
|
Режим назначения IP-адреса:
Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN), то необходимо использовать статический IP-адрес. Статический режим устанавливается автоматически при назначении интерфейсу IP-адреса. Для использования интерфейса, используемого в роли клиента, необходимо выбрать динамический режим.
|
|
ip-addresses
|
Назначение интерфейсу IP-адреса.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
|
mtu
|
Указание размера MTU для выбранного интерфейса.
|
Обновление существующего интерфейса VPN:
Admin@UGOS# set network interface vpn <vpn-name>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-name (изменение значения этого параметра недоступно).
Команда для удаления интерфейса VPN или его параметров:
Admin@UGOS# delete network interface vpn <vpn-name>
Параметры, доступные для удаления: ip-addresses.
Чтобы отобразить информацию о всех интерфейсах VPN:
Admin@UGOS# show network interface vpn
или об определённом интерфейсе:
Admin@UGOS# show network interface vpn <vpn-name>
Настройка туннелей
Создание и настройка туннелей производится на уровне network interface tunnel.
Для создания туннелей используется команда:
Admin@UGOS# network interface tunnel
Далее необходимо указать параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение туннеля:
|
|
interface-name
|
Необходимо ввести номер, который будет отображён в названии туннеля (например 1, тогда название созданного интерфейса будет gre1).
|
|
description
|
Описание туннеля.
|
|
node-name
|
Узел кластера, на котором будет создан туннель.
|
|
zone
|
Зона, которой будет принадлежать интерфейс.
|
|
link-info
|
Настройка параметров сетевого интерфейса:
-
bc_forwarding: управление пересылкой пакетов directed broadcast, приходящих на указанный интерфейс.
-
proxy_arp, proxy_arp_vlan: механизм Proxy ARP. Параметр proxy_arp — NGFW будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса; proxy_arp_vlan — NGFW будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса.
Указываются в следующем формате:
Admin@UGOS# create network interface <iface-type> … link-info [ key/value ]
где key — название параметра. Название может состоять из строчных букв латинского алфавита (a — z) и знака подчеркивания (_).
value — значение параметра. Параметры могут принимать только целые числовые значения.
Например, чтобы включить использование механизма Proxy ARP используйте следующие key/value — proxy_arp/1; для отключения — proxy_arp/0.
Поле link-info будет отображено только в случае добавления параметров.
Важно! Удаление заданных параметров недоступно.
|
|
mtu
|
Размер MTU для выбранного интерфейса.
|
|
tunnel-config
|
Дополнительные параметры интерфейса:
-
local-ip: локальный адрес Point-to-Point интерфейса.
-
remote-ip: удалённый адрес Point-to-Point интерфейса.
-
iface-mode: режим работы туннеля:
-
gre: GRE (протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня в IP-пакеты. Номер протокола в IP — 47).
-
ipip: IPIP (протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP пакета в другой IP пакет, это добавление внешнего заголовка с Source IP — точкой входа в туннель, и Destination — точкой выхода из туннеля).
-
vxlan: VXLAN (протокол туннелирования Layer 2 Ethernet кадров в UDP-пакеты, порт 4789).
-
vni: идентификатор VXLAN. Только для типа туннеля VXLAN.
|
|
ip-addresses
|
IP-адрес, назначенный туннельному интерфейсу.
Адрес задаётся в следующем виде: [ <ip_address/mask> ] или [ <ip_address/mask> <ip_address/mask> ], если необходимо назначить несколько IP-адресов (адреса перечисляются через пробел); маска подести задаётся в десятичном виде.
Важно! Квадратные скобки обязательно должны быть отделены пробелами с обеих сторон.
|
Обновление существующего туннеля:
Admin@UGOS# set network interface tunnel <tunnel-name>
Параметры, доступные для обновления, аналогичны параметрам создания интерфейса, кроме interface-name, node-name (изменение значений этих параметров недоступно).
Команда для удаления интерфейса туннель или его параметров:
Admin@UGOS# delete network interface tunnel <tunnel-name>
Параметры, доступные для удаления: ip-addresses.
Чтобы отобразить информацию о всех туннелях:
Admin@UGOS# show network interface tunnel
или об определённом интерфейсе:
Admin@UGOS# show network interface tunnel <tunnel-name>
Данный раздел находится на уровне network gateway.
Для добавления нового шлюза используется команда:
Admin@UGOS# create network gateway
Доступные параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение шлюза:
|
|
name
|
Название шлюза.
|
|
description
|
Описание шлюза.
|
|
node-name
|
Имя узла кластера, на котором создаётся шлюз.
|
|
interface
|
Интерфейс, использующийся для выхода в Интернет.
|
|
virtual-router
|
Выбор виртуального маршрутизатора, для которого настраивается шлюз.
|
|
ip
|
IP-адрес шлюза.
|
|
weight
|
Вес шлюза (чем больше вес, тем большая доля трафика идет через шлюз).
|
|
balancing
|
Режим балансировки - весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами:
|
|
default
|
Использование данного шлюза в качестве шлюза по умолчанию:
|
Обновление параметров шлюза:
Admin@UGOS# set network gateway <gateway-name>
Список параметров, доступных для изменения, аналогичен списку, доступному при создании шлюза, кроме node-name (изменение значения данного параметра недоступно).
Команда для удаления шлюза:
Admin@UGOS# delete network gateway <gateway-name>
Чтобы отобразить информацию о всех шлюзах:
Admin@UGOS# show network gateway
или об определённом шлюзе:
Admin@UGOS# show network gateway <gateway-name>
Раздел находится на уровне network dhcp.
Для создания подсети DHCP, используется команда:
Admin@UGOS# create network dhcp
Далее необходимо указание параметров:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение использования данного диапазона IP-адресов:
|
|
name
|
Название подсети.
|
|
description
|
Описание подсети.
|
|
node-name
|
Выбор узла кластера, на котором создается данный диапазон.
|
|
interface
|
Интерфейс сервера, на котором будут раздаваться IP-адреса из создаваемого диапазона.
|
|
ip-range
|
Диапазон IP-адресов, выдаваемый клиентам DHCP. Диапазон задаётся в формате: <IP_start-IP_end>.
|
|
mask
|
Маска подсети, выдаваемая клиентам DHCP.
|
|
expiration-time
|
Время в секундах, на которое выдаются IP-адреса.
|
|
domain
|
Название домена, выдаваемое клиентам DHCP.
|
|
gateway-address
|
IP-адрес шлюза, выдаваемый клиентам DHCP.
|
|
dns-servers
|
IP-адрес DNS-серверов, выдаваемых клиентам DHCP.
|
|
reserved-hosts
|
MAC-адреса и сопоставленные с ними IP-адреса:
|
|
ignored-mac
|
Список MAC-адресов, игнорируемых DHCP-сервером.
|
|
pxe-boot-ip
|
Адрес сервера PXE.
|
|
pxe-boot-filename
|
Название файла для загрузки с PXE-сервера.
|
|
options
|
Номер опции и ее значение:
-
code: номер опции DHCP.
-
values: значение опции.
|
Обновление существующей DHCP-подсети:
Admin@UGOS# set network dhcp <dhcp-name>
Параметры, информацию о которых можно обновить, аналогичны параметрам, доступным при создании, кроме параметров node-name, interface - изменение значений данных параметров недоступно.
Для удаления подсети:
Admin@UGOS# delete network dhcp <dhcp-name>
Также доступно удаление отдельных параметров подсети DHCP:
-
dns-servers.
-
ignored-mac.
-
reserved-hosts (необходимо указать все три значения: mac, ip, hostname).
-
options (необходимо указать оба значения: code, values).
Чтобы отобразить информацию о всех созданных подсетях:
Admin@UGOS# show network dhcp
или об определённой подсети DHCP:
Admin@UGOS# show network dhcp <dhcp-name>
Раздел находится на уровне network dns.
Настройка системных DNS-серверов
Настройка системных серверов DNS производится на уровне network dns system-dns-servers.
Для добавления новых DNS-серверов или обновления существующего списка используются следующие команды:
Admin@UGOS# set network dns system-dns-servers + [ <ip> <ip> ... ]
Admin@UGOS# set network dns system-dns-servers [ <ip> <ip> ... ]
Для удаления всего списка адресов серверов DNS:
Admin@UGOS# delete network dns system-dns-servers
Для удаления определённых серверов:
Admin@UGOS# delete network dns system-dns-servers [ <ip> <ip> ... ]
Для отображения списка системных DNS-серверов используется команда:
Admin@UGOS# show network dns system-dns-servers
Настройка DNS-прокси
DNS-прокси настраивается на уровне network dns proxy-settings.
Для обновления настроек DNS-прокси используется следующая команда:
Admin@UGOS# set network dns proxy-settings
Далее необходимо указать параметры, значения которых необходимо изменить:
|
Параметр
|
Описание
|
|
filtering
|
Фильтрация DNS-запросов:
|
|
caching
|
Кэширование ответов DNS:
|
|
limit
|
Ограничение количества DNS-запросов в секунду для каждого пользователя (значение по умолчанию: 100).
|
|
max-ttl
|
Максимально возможное время жизни для записей DNS.
|
|
recursive
|
Осуществление рекурсивных DNS-запросов:
|
|
dns-timeout
|
Время до следующей попытки отправления запроса на DNS-сервера (указывается в миллисекундах).
|
|
a-aaaa-unknown
|
Ответы только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS:
|
|
retries
|
Количество попыток DNS-запроса.
|
|
factory-defaults
|
Сброс до заводских настроек значения выбранного параметра (параметры представлены в данной таблице) или всех параметров (all).
|
Чтобы просмотреть настройки DNS-прокси:
Admin@UGOS# show network dns proxy-settings
Параметры, значения которых можно просмотреть, представлены в таблице выше.
Настройка правил DNS
Правила DNS настраиваются на уровне network dns rules с использованием UPL. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.
Параметры правил DNS:
|
Параметр
|
Описание
|
|
PASS
OK
|
Действие для создания правила с помощью UPL.
|
|
enabled
|
Включение/отключение использования правила:
|
|
name
|
Название правила.
Например: name("DNS rule example").
|
|
desc
|
Описание правила DNS-прокси.
Например: desc("DNS rule example set via CLI").
|
|
url.domain
|
Список доменов, на которые необходимо перенаправлять. Допускается использование звёздочки (*) для указания шаблона доменов.
Чтобы указать список доменов: url.domain = "*.example.com".
|
|
dns_server
|
Список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены.
Для указания сервера: dns_server(1.2.3.4).
|
Настройка статистических записей DNS-прокси
Раздел находится на уровне network dns static-records.
Для добавления статической DNS-записи предназначена команда:
Admin@UGOS# create network dns static-records
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение использования статической записи:
|
|
name
|
Название записи.
|
|
description
|
Описание DNS-записи.
|
|
domain
|
FQDN (Fully Qualified Name) статической записи, например, www.example.com.
|
|
static-dns-ips
|
Список IP-адресов, которые сервер UserGate будет возвращать при запросе данного FQDN.
|
Для обновления информации о статических DNS-записях:
Admin@UGOS# set network dns static-records <static-record-name>
Список параметров, доступных для изменения, аналогичен списку команды create.
Для удаления статической записи:
Admin@UGOS# delete network dns static-records <static-record-name>
Также возможно удаление из статической записи только значений параметра static-dns-ips.
Команда
Admin@UGOS# show network dns static-records
отобразит информацию о всех существующих статических DNS-записях. Для отображения информации об определённой записи:
Admin@UGOS# show network dns static-records <static-record-name>
Настройка виртуальных маршрутизаторов
В данном разделе описана настройка статических маршрутов, протоколов динамической маршрутизации OSPF, BGP, RIP и мультикаст-маршрутизации с использованием интерфейса командной строки (настройка рассмотрена в соответствующих разделах). Настройка производится на уровне network virtual-router.
Далее представлены команды, использующиеся для общей настройки виртуальных маршрутизаторов.
Команда для добавления нового виртуального маршрутизатора:
Admin@UGOS# create network virtual-router
Далее указываются параметры:
|
Параметр
|
Описание
|
|
name
|
Уникальное имя виртуального маршрутизатора.
|
|
description
|
Описание виртуального маршрутизатора
|
|
node
|
Выбор узла NGFW, на котором будет создан виртуальный маршрутизатор (при наличии кластера).
|
|
interface
|
Интерфейсы, которые будут использованы в данном виртуальном маршрутизаторе. Интерфейсы, добавленные в другие виртуальные маршрутизаторы, добавлены быть не могут; любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов — физические, виртуальные (VLAN), бондинг, VPN и другие.
|
|
route
|
Добавление маршрутов, которые будут применены к трафику в данном виртуальном маршрутизаторе.
Подробнее читайте в разделе Настройка статических маршрутов.
|
|
ospf
|
Добавление динамических маршрутов, получаемых по протоколу маршрутизации OSPF.
Подробнее читайте в разделе Настройка OSPF.
|
|
bgp
|
Добавление динамических маршрутов, получаемых по протоколу маршрутизации BGP.
Подробнее смотрите в разделе Настройка BGP.
|
|
rip
|
Добавление динамических маршрутов, получаемых по протоколу маршрутизации RIP.
Подробнее читайте в разделе Настройка RIP.
|
|
multicast-router
|
Настройка мультикастинга в данном виртуальном маршрутизаторе.
Подробнее о настройке мультикастинга использованием интерфейса командной строки смотрите в разделе Настройка мультикаст-маршрутизации.
|
Следующая команда предназначена для изменения параметров виртуального маршрутизатора:
Admin@UGOS# set network virtual-router <virtual-router-name>
Параметры, доступные для обновления, аналогичны параметрам команды create, кроме:
Чтобы удалить виртуальный маршрутизатор используется команда:
Admin@UGOS# set network virtual-router <virtual-router-name>
Команда для отображения информации о виртуальном маршрутизаторе:
Admin@UGOS# show network virtual-router <virtual-router-name>
Настройка статических маршрутов
Для добавления нового статического маршрута используется команда:
Admin@UGOS# set network virtual-router <virtual-router-name> route new
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение использования статического маршрута:
|
|
name
|
Имя маршрута.
|
|
description
|
Описание маршрута.
|
|
type
|
Тип маршрута:
-
unicast — стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.
-
unreachable — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).
-
prohibit — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).
-
blackhole — трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.
|
|
destination-ip
|
IP-адрес подсети назначения; указывается в формате <ip/mask>.
|
|
gateway-address
|
IP-адрес шлюза, через который будет доступна указанная подсеть; этот IP-адрес должен быть доступен с NGFW.
|
|
interface
|
Интерфейс, через который будет добавлен маршрут.
|
|
metric
|
Метрика маршрута. Если маршрутов в данную сеть несколько: чем меньше метрика, тем приоритетней маршрут
|
Чтобы изменить параметры созданного ранее статического маршрута, используйте команду:
Admin@UGOS# set network virtual-router <virtual-router-name> route <static-route-name>
Параметры, доступные для изменения, представлены в таблице выше.
Используйте следующую команду для удаления статического маршрута:
Admin@UGOS# delete network virtual-router <virtual-router-name> route <static-route-name>
Для отображения статических маршрутов:
Admin@UGOS# show network virtual-router <virtual-router-name> route
Настройка OSPF
Для настройки OSPF с использованием CLI используйте следующую команду:
Admin@UGOS# set network virtual-router <virtual-router-name> ospf
Далее необходимо указать параметры OSPF-маршрутизатора:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение OSPF-маршрутизатора:
|
|
router-id
|
IP-адрес маршрутизатора. Должен быть уникальным и задан в формате IPv4 (для удобства может совпадать с одним из IP-адресов, назначенным сетевым интерфейсам NGFW, относящимся к данному виртуальному маршрутизатору).
При выключении OSPF (enabled off) значение router-id может быть удалено (none).
|
|
connected
|
Распространение другим роутерам OSPF маршрутов в непосредственно подключённые к NGFW сети:
|
|
kernel
|
Распространение другим роутерам OSPF маршрутов, которые были добавлены администратором:
|
|
metric
|
Метрика распространяемых маршрутов.
|
|
default-originate
|
Оповещение других маршрутизаторов о том, что у данного роутера настроен маршрут по умолчанию:
|
|
interface
|
Выбор одного из существующих в системе интерфейсов, на котором будет работать OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор.
Для добавления интерфейса или изменения параметров добавленного ранее интерфейса используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> ospf interface new
Admin@UGOS# set network virtual-router <virtual-router-name> ospf interface <interface-name>
Далее указываются следующие параметры:
-
enabled <on | off>: включение/отключение использования интерфейса.
-
interface: название интерфейса, входящего в данный виртуальный маршрутизатор.
-
description: описание интерфейса.
-
cost: стоимость канала данного интерфейса. Данное значение передается в LSA (объявления о состоянии канала, link-state advertisement) соседним маршрутизаторам и используется ими для вычисления кратчайшего маршрута. Значение по умолчанию 1.
-
priority: целое число от 0 до 255. Чем больше значение, тем выше шанс у маршрутизатора стать назначенным маршрутизатором (designated router) в сети для рассылки LSA. Значение 0 делает назначение для данного маршрутизатора невозможным. Значение по умолчанию 1.
-
hello-interval: время, через которое маршрутизатор посылает hello-пакеты; указывается в секундах. Это время должно быть одинаковым на всех маршрутизаторах в автономной системе. Значение по умолчанию 10 секунд.
-
dead-interval: время, по истечению которого маршрутизатор считается неработающим; указывается в секундах. Время исчисляется от момента приема последнего пакета hello от соседнего маршрутизатора. Значение по умолчанию 40 секунд.
-
retransmit-interval: временный интервал перед повторной отсылкой пакета LSA; указывается в секундах. Значение по умолчанию 5 секунд.
-
transmit-delay: примерное время, требуемое для доставки соседним маршрутизаторам обновления состояния каналов (link state); задаётся в секундах. Значение по умолчанию 1 секунда.
-
authentication: тип аутентификации. Доступны:
-
enabled <on | off> — включение/отключение требования аутентификации каждого принимаемого роутером OSPF-сообщения. Аутентификация обычно используется для предотвращения инъекции фальшивого маршрута от нелегитимных маршрутизаторов.
-
auth-type — выбор типа аутентификации: plain (передача ключа в открытом виде для аутентификации роутеров) или digest (использование MD5-хеша для ключа для аутентификации OSPF-пакетов).
-
md5-key-id — идентификатор ключа.
-
key — ключ. Ключ может содержать только буквы латинского алфавита, цифры и символ подчёркивания. Максимальное количество символов — 16.
|
|
area
|
Настройка области OSPF.
Для добавления новой области или изменения параметров созданной ранее области используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> ospf area new
Admin@UGOS# set network virtual-router <virtual-router-name> ospf area <area-name>
Далее указываются следующие параметры:
-
enabled <on | off>: включение/отключение использования данной области.
-
name: название области.
-
description: описание области.
-
cost: стоимость LSA, анонсируемых в stub-области.
-
area-id: идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Идентификатор области должен совпадать для установления соседства OSPF.
-
auth-type: тип авторизации. Доступны следующие значения:
-
none — не требовать авторизацию OSPF-пакетов.
-
plain — передача ключа в открытом виде для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.
-
digest — использование MD5-хеша для ключа для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.
Идентификация на уровне интерфейсов имеет приоритет над авторизацией на уровне зоны.
-
area-type: тип области OSPF. Доступны следующие типы:
-
normal — обычная зона, которая создается по умолчанию. Эта зона принимает обновления каналов, суммарные маршруты и внешние маршруты.
-
nssa — Not-So-Stubby Area определяет дополнительный тип LSA — LSA type 7. В NSSA зоне может находиться пограничный маршрутизатор (ASBR).
-
stub — тупиковая зона, не принимает информацию о внешних маршрутах для автономной системы, но принимает маршруты из других зон. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию. В тупиковой зоне не может находиться ASBR.
-
no-summary: разрешение/запрет инжекции суммированных маршрутов в тупиковые типы областей:
-
interface: выбор интерфейсов OSPF, на которых будет доступна данная зона.
-
virtual-links: Специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной через другую зону. Настраивается между двумя ABR.
Позволяет маршрутизаторам передать пакеты OSPF через виртуальные ссылки, инкапсулируя их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений.
Можно указать идентификаторы маршрутизаторов, которые доступны через данную зону.
|
Для удаления настроек OSPF используется команда:
Admin@UGOS# delete network virtual-router <virtual-router-name> ospf
Параметры, доступные для удаления:
Следующая команда используется для отображения конфигурации OSPF в виртуальном маршрутизаторе:
Admin@UGOS# show network virtual-router <virtual-router-name> ospf
Настройка BGP
Настройка протокола динамической маршрутизации BGP (Border Gateway Protocol) в виртуальном маршрутизаторе производится с использованием следующей команды:
Admin@UGOS# show network virtual-router <virtual-router-name> bgp
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение BGP-маршрутизатора:
|
|
router-id
|
IP-адрес маршрутизатора. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам NGFW, относящимся к данному виртуальному маршрутизатору.
При выключении BGP (enabled off) значение router-id может быть удалено (none).
|
|
as-number
|
Автономная система — это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации. Номер автономной системы задает принадлежность роутера к этой системе.
|
|
multiple-path
|
Включение/отключение балансировки трафика на маршруты с одинаковой стоимостью:
|
|
connected
|
Распространение другим роутерам BGP маршрутов в непосредственно подключённые к NGFW сети:
|
|
kernel
|
Распространение другим роутерам BGP маршрутов, которые были добавлены администратором:
|
|
ospf-redistribute
|
Распространение другим роутерам BGP маршрутов, полученных по протоколу OSPF:
|
|
network-addrs
|
Список сетей, относящихся к данной автономной системе. Необходимо указать в формате <ip/mask>.
|
|
routemaps
|
Routemaps используются для управления таблицами маршрутов и указания условий, при выполнении которых маршруты передаются между доменами.
Для создания routemap или изменения параметров созданного ранее routemap используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> bgp routemaps new
Admin@UGOS# set network virtual-router <virtual-router-name> bgp routemaps <routemap-name>
Параметры routemap:
-
name — название routemap.
-
description — описание routemap.
-
action — действие:
-
allow — разрешить прохождение данных, попадающих под условия routemap.
-
block — запретить прохождение данных, попадающих под условия routemap.
-
match-by — условие применения routemap. Сравнивать по:
-
ip — сравнение по IP-адресу.
-
aspath — сравнение по AS пути.
-
community — сравнение по Community.
-
next-hop — установка для отфильтрованных маршрутов значения next hop в указанный IP-адрес.
-
weight — установка для отфильтрованных маршрутов веса в указанное значение.
-
metric — установка для отфильтрованных маршрутов метрики в указанное значение.
-
preference — установка для отфильтрованных маршрутов предпочтения в указанное значение.
-
as-prepend — установка значения AS-prepend — список автономных систем, добавляемых для данного маршрута.
-
community — установка значения для BGP community для отфильтрованных маршрутов.
-
append-community — Добавлять community.
-
ip-match — необходимо добавить все необходимые IP-адреса при выборе сравнения по IP-адресу.
-
as-path-match — необходимо добавить все необходимые номера автономных сетей при выборе сравнения по AS-пути. Допускается указывать регулярные выражения формата POSIX 1003.2, а также дополнительный символ подчеркивания (_), который интерпретируется как:
-
Пробел.
-
Запятая.
-
Начало строки.
-
Конец строки.
-
AS set delimiter { and }.
-
AS confederation delimiter ( and ).
-
community-match — необходимо добавить строки всех необходимых BGP community при выборе сравнения по Community.
|
|
filters
|
Фильтр позволяет фильтровать маршруты при перераспределении.
Для создания фильтра или изменения параметров созданного ранее фильтра используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> bgp filters new
Admin@UGOS# set network virtual-router <virtual-router-name> bgp filters <filter-name>
Параметры:
-
name — название фильтра.
-
description — описание фильтра.
-
action — действие:
-
allow — разрешить прохождение данных, попадающих под условия routemap.
-
block — запретить прохождение данных, попадающих под условия routemap.
-
filter-by — условия применения фильтра. Доступно:
-
ip-filter — необходимо добавить все необходимые IP-адреса при выборе фильтрации по IP-адресу. Адреса могут быть указаны в следующих форматах:
-
10.0.0.0/8 — только сеть 10.0.0.0/8.
-
10.0.0.0./8:11 — маршруты, у которых первый октет 10 и префикс от 8 до 11.
-
10.0.0.0/8:11:13 — маршруты, у которых первый октет 10 и префикс от 11 до 13.
-
as-path-filter — необходимо добавить все необходимые номера автономных сетей при выборе фильтрации по AS пути.
|
|
neighbors
|
BGP-соседи.
Для добавления новых соседей или изменения данных о ранее добавленных соседях используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> bgp neighbors new
Admin@UGOS# set network virtual-router <virtual-router-name> bgp neighbors <host-ip>
Параметры:
-
enabled — включение/отключение использования соседа:
-
description — описание BGP-соседа.
-
host — IP-адрес соседа.
-
remote-asn — номер автономной системы, к которой относится сосед.
-
weight — вес маршрутов, получаемых от данного соседа.
-
ttl — максимальное количество хопов, разрешенное до этого соседа.
-
allowas-in — эта функция позволяет получать и обрабатывать маршруты, даже если маршрутизатор обнаруживает собственный номер автономной системы в AS Path в маршруте агрегации.
-
allowas-in-number — количество раз, которое в AS Path может содержаться номер автономной системы BGP-соседа. Возможны значения от 0 до 10 (0 — origin)
-
next-hop-self — замена значения next-hop-self на собственный IP-адрес, если сосед является BGP:
-
ebgp-multihop — до этого BGP-соседа непрямое соединение (более одного хопа):
-
route-reflector-client — определение, является ли BGP-сосед клиентом Route reflector:
-
soft-reconfiguration — использование soft reconfiguration (без разрыва соединений) для обновления конфигурации:
-
default-originate — анонс соседу маршрут по умолчанию:
-
send-community — пересылать community BGP-соседям:
-
enable-auth — включение/отключение аутентификации для соседа:
-
password — пароль для аутентификации соседа.
-
filter-in — ограничение информации о маршрутах, получаемых от соседей.
-
filter-out — ограничение информации о маршрутах, анонсируемых соседям.
-
routemap-in — ограничение маршрутизирующей информации, которую BGP получает от соседей.
-
routemap-out — ограничение маршрутизирующей информации, которую BGP отдаёт соседям.
|
Команда, использующуюся для удаления параметров BGP-маршрутизатора:
Admin@UGOS# delete network virtual-router <virtual-router-name> bgp
Для удаления доступны следующие параметры:
-
Адреса сетей, относящихся к данной автономной системе: network-addrs.
-
Условия применения routemap: routemaps <routemap-name> ip-match | community-match | as-path-match.
-
Условия применения фильтра: filters <filter-name> ip-filter | as-path-filter.
-
Фильтры BGP-соседей и routemaps: neighbors <host-ip> filter-in | filter-out | routemap-in | routemap-out.
Следующая команда используется для отображения конфигурации BGP в виртуальном маршрутизаторе:
Admin@UGOS# show network virtual-router <virtual-router-name> bgp
Настройка RIP
Настройка протокола маршрутизации RIP (Routing Information Protocol) в виртуальном маршрутизаторе производится с использованием следующей команды:
Admin@UGOS# show network virtual-router <virtual-router-name> rip
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение RIP-маршрутизатора:
|
|
rip-version
|
Версия протокола RIP:
Как правило, используется 2-я версия протокола.
|
|
default-metric
|
Метрика RIP. По умолчанию метрика равна 1; максимальное значение — 15. Значение 16 считается бесконечным.
|
|
admin-distance
|
Стоимость маршрутов, полученных с помощью протокола RIP. Значение по умолчанию для протокола RIP — 120. Используется для выбора маршрутов при наличии нескольких способов получения маршрутов (OSPF, BGP, статические).
|
|
default-originate
|
Отправлять себя в качестве маршрута по умолчанию.
|
|
network-cidr
|
Указание сети в виде CIDR. Указывается в формате <ip/mask>.
|
|
network-interface
|
Указание сетевого интерфейса, с которого будут отправлять обновления маршрутной информации; указываются интерфейсы, принадлежащие виртуальному маршрутизатору.
|
|
redistribute
|
Распространение маршрутов:
-
connected — распространение другим роутерам RIP маршрутов в непосредственно подключённые к NGFW сети:
-
static — распространение другим маршрутизаторам статических маршрутов:
-
kernel — распространение другим роутерам RIP маршрутов, которые были добавлены администратором:
-
ospf-redistribute — распространение другим RIP-роутерам маршрутов, полученных по OSPF:
-
bgp-redistribute — распространение другим RIP-роутерам маршрутов, полученных по BGP:
|
|
interfaces
|
Настройка интерфейсов, на которых поддерживается протокол RIP; интерфейсы должны быть добавлены в виртуальный маршрутизатор.
Для добавления интерфейсов или изменения данных о ранее добавленных интерфейсах используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> rip interfaces new
Admin@UGOS# set network virtual-router <virtual-router-name> rip interfaces <interface-name>
Параметры:
-
interface — выбор интерфейса.
-
send-version — версия протокола RIP, которую маршрутизатор будет отсылать. Доступны:
-
receive-version -версия протокола RIP, которую маршрутизатор будет принимать. Доступны:
-
password — строка для авторизации, которая будет посылаться и приниматься в пакетах RIP. Все роутеры, участвующие в обмене информации по протоколу RIP, должны иметь одинаковый пароль.
-
split-horizon — метод предотвращения петель маршрутизации, при котором маршрутизатор не распространяет информацию о сети через интерфейс, на который прибыло обновление.
-
poison-reverse — метод предотвращения петель маршрутизации, при котором маршрутизатор устанавливает стоимость маршрута в 16 и отсылает его соседу, от которого его получил.
-
passive-mode — режим работы интерфейса, при котором он принимает обновления RIP, но не отсылает их.
|
Команда, использующуюся для удаления параметров RIP-маршрутизатора:
Admin@UGOS# delete network virtual-router <virtual-router-name> rip
Для удаления доступны следующие параметры:
-
Интерфейсы RIP: interfaces.
-
Сети RIP: network-cidr.
-
Сетевого интерфейса, с которого будут отправлять обновления маршрутной информации: network-interface.
Следующая команда используется для отображения конфигурации RIP в виртуальном маршрутизаторе:
Admin@UGOS# show network virtual-router <virtual-router-name> rip
Настройка мультикаст-маршрутизации
Настройка мультикаст маршрутизации в виртуальном маршрутизаторе производится с использованием следующей команды:
Admin@UGOS# show network virtual-router <virtual-router-name> multicast-router
Далее указываются параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение мультикаст-маршрутизации:
|
|
use-ecmp
|
Разрешение распределения трафика по нескольким маршрутам по технологии Equal Cost Multi Path (ECMP):
Требуется наличие нескольких маршрутов до необходимого сетевого узла. Если данная опция отключена, то весь трафик на определенный хост назначения будет пересылаться только через один из роутеров (next hop).
|
|
use-ecmp-rebalance
|
Использование ECMP rebalance:
-
on — если один из интерфейсов, через который отсылался трафик, отключился, то все существующие потоки будут перераспределены между оставшимися маршрутами (next hop).
-
off — если один из интерфейсов, через который отсылался трафик, отключился, то перераспределяются только те потоки, которые передавались через отключенный интерфейс.
|
|
join-prune
|
Интервал отправки сообщений соседям PIM о мультикаст-группах, трафик которых маршрутизатор хочет принимать или более не хочет принимать.
|
|
register-suppress
|
Интервал, после которого маршрутизатор отсылает сообщение register suppress.
|
|
keep-alive
|
Интервал, через который маршрутизатор будет посылать сообщения keepalive соседям, а также интервал, который маршрутизатор будет ждать, прежде чем будет считать соседа недоступным.
|
|
interfaces
|
Интерфейс, который будет использоваться для работы мультикаста; для указания доступны только интерфейсы, добавленные в виртуальный маршрутизатор.
Для добавления интерфейсов или изменения данных о ранее добавленных интерфейсах используются следующие команды:
Admin@UGOS# set network virtual-router <virtual-router-name> multicast-router interfaces new
Admin@UGOS# set network virtual-router <virtual-router-name> multicast-router interfaces <interface-name>
Далее необходимо указать параметры:
-
interface — выбор интерфейса для работы мультикаст. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор.
-
hello-timeout — интервал отправки PIM HELLO сообщений в секундах. PIM Hello сообщения отправляются периодически со всех интерфейсов, для которых включена поддержка мультикастинга. Эти сообщения позволяют узнать маршрутизатору о соседних маршрутизаторах, поддерживающих мультикастинг.
-
dr-priority — приоритет при выборе Designated router (DR), с помощью которого администратор может управлять процессом выбора DR для локальной сети.
-
enable-igmp — приём сообщений IGMP report и IGMP query на данном интерфейсе.
-
use-igmpv2 — использование версии IGMP v2, по умолчанию используется IGMP v3.
|
|
rendevouz-points
|
При настройке Rendevouz points можно указать следующие параметры:
-
enabled — включение/отключение данного RP:
-
name — название RP.
-
ip — Unicast IP-адрес RP.
-
asm-allowed-groups — список разрешенных групповых адресов для any source multicast с данного RP. Любые сети из диапазона 224.0.0.0/4. Если ничего не задано, то ограничений нет.
|
|
ssm-allowed-groups
|
Настройка мультикаст роутера, определяющая список разрешенных групповых адресов для source specific multicast. Могут быть указаны любые сети из диапазона 232.0.0.0/8; если ничего не задано, то ограничений нет.
|
|
spt-exclusions
|
Настройка мультикаст роутера, задающая список IPv4 мультикаст-групп, исключенных из переключения на shortest path tree.
|
Следующая команда предназначена для удаления параметров мультикаст-маршрутизатора:
Admin@UGOS# delete network virtual-router <virtual-router-name> multicast-router
Для удаления доступны следующие параметры:
-
Интерфейсы, использующиеся для работы мультикаста: interfaces.
-
Rendevouz points: rendevouz-points <rp-name>, а также список разрешенных групповых адресов для any source multicast с данного RP: rendevouz-points <rp-name> asm-allowed groups.
-
Cписок разрешенных групповых адресов для source specific multicast: ssm-allowed-groups.
-
Cписок IPv4 мультикаст-групп, исключенных из переключения на shortest path tree: spt-exclusions.
Для отображения конфигурации мультикастинга в виртуальном маршрутизаторе используйте следующую команду:
Admin@UGOS# show network virtual-router <virtual-router-name> multicast-router
Настройка WCCP производится на уровне network wccp. Для создания сервисной группы WCCP используется следующая команда:
Admin@UGOS# create network wccp
Доступны параметры:
|
Параметр
|
Описание
|
|
enabled
|
Включение/отключение сервисной группы:
|
|
name
|
Название сервисной группы WCCP.
|
|
description
|
Описание сервисной группы.
|
|
password
|
Пароль, необходимый для аутентификации NGFW в сервисной группе. Пароль должен совпадать с паролем, указанным на серверах WCCP.
|
|
fwd-type
|
Способ перенаправления трафика с серверов WCCP на NGFW:
Перенаправление L2 как правило требует меньшее количество ресурсов, чем GRE, но сервер WCCP и NGFW должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2.
|
|
ret-type
|
Способ перенаправления трафика с NGFW на серверы WCCP:
Перенаправление L2 как правило требует меньшее количество ресурсов, чем GRE, но сервер WCCP и NGFW должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2.
|
|
service-group
|
Числовой идентификатор сервисной группы. Идентификатор сервисной группы должен быть одинаков на всех устройствах, входящих в группу.
|
|
priority
|
Приоритет группы. Если несколько сервисных групп применимы к трафику на сервере WCCP, то приоритет определяет порядок, в котором сервер будет распределять трафик на клиенты WCCP.
|
|
ports-to-redirect
|
Порты для перенаправления (порты назначения трафика). При необходимости указываются несколько портов в формате: ports-to-redirect + [ 80 442 ].
Важно! NGFW может применять фильтрацию только для перенаправленного TCP трафика с портами назначения 80, 443 (HTTP/HTTPS). Трафик, переданный на NGFW с другими портами, будет отправляться в интернет без фильтрации.
|
|
ports-source
|
Перенаправление трафика на основании значений портов источника:
|
|
protocol
|
Выбор протокола:
|
|
routers-lists
|
Список IP-адресов серверов WCCP.
Подробнее о создании списков IP-адресов с помощью CLI читайте в разделе Настройка IP-адресов.
|
|
routers-ips
|
IP-адреса серверов WCCP.
|
|
assignment-type
|
При наличии в сервисной группе нескольких WCCP-клиентов способ назначения определяет распределение трафика от WCCP-серверов по WCCP-клиентам.
-
wccp-hash — распределение трафика на основе хэша, вычисляемому по указанным полям IP-пакета:
-
source-ip — вычисление хэша по IP-адресу источника.
-
source-port — вычисление хэша по порту источника.
-
dest-ip — вычисление хэша по IP-адресу назначения.
-
dest-port — вычисление хэша по порту назначения.
-
alt-source-ip — вычисление альтернативного хэша по IP-адресу источника.
-
alt-source-port- вычисление альтернативного хэша по порту источника.
-
alt-dest-ip — вычисление альтернативного хэша по IP-адресу назначения.
-
alt-dest-port — вычисление альтернативного хэша по порту назначения.
-
wccp-mask — распределение трафика на основе вычисления операции AND между маской и выбранным заголовком пакета. При выборе маски проконсультируйтесь с документацией производителя сервера WCCP.
-
source-ip — схема маскирования по IP-адресу источника.
-
source-port — схема маскирования по порту источника.
-
dest-ip — схема маскирования по IP-адресу назначения.
-
dest-port — схема маскирования по порту назначения.
-
mask-value — значение маски схемы маскирования. Для схемы маскирования по порту — 16 бит; по IP-адресу — 32 бита; указываются в шестнадцатеричном формате.
|
Для задания значений сервисной группы WCCP или обновления информации о ней:
Admin@UGOS# set network wccp <service-group-name>
Далее указываются параметры, значения которых необходимо обновить; параметры представлены в таблице выше.
С использованием следующей команды доступно удаление сервисной группы полностью или некоторых её параметров:
Admin@UGOS# delete network wccp <service-group-name>
Параметры, доступные для удаления:
-
routers-lists.
-
routers-ips.
-
ports-to-redirect.
Следующая команда предназначена для просмотра информации о сервисной группе WCCP:
Admin@UGOS# show network wccp <service-group-name>
|
