Не создается виртуальный маршрутизатор
В названии VRF нельзя использовать русские буквы, заглавные буквы, а также оно не должно содержать имена интерфейсов, например port1 или tunnel1. Подробнее...
Не удаётся создать 2 моста L2 и L3 на одном устройстве.
Это ограничения архитектуры. Мосты L2 и L3 отличаются возможностью использовать интерфейс моста L3 для исходящего трафика самого устройства и, как недостаток описанного выше, необходимостью иметь на устройстве полную таблицу маршрутизации для проходящего через мост L3 клиентского трафика; использование моста L2 требует также наличия интерфейсов L3 для связи устройства с внешними серверами.
Для решения поставленной задачи, т.е. создания аналога конфигурации с мостами L2 и L3 одновременно, необходимо:
При использования явного прокси будет ли явный прокси использовать для маршрутизации наружу только основной шлюз? Будут ли правила PBR учитываться в работе явного прокси?
Правила PBR применяются к соединениям устанавливаемым через явный прокси, IP и зона источника в них также работают. Подробнее об алгоритме обработки трафика в UserGate читайте в статье UserGate NGFW 6 packet flow.
Два устройства UserGate NGFW настроены на работу в кластере отказоустойчивости в режиме Актив-Пассив.
Адресация на интерфейсах, использующихся для выхода в Интернет:
Необходимо произвести настройку, чтобы для отправки трафика в сеть Интернет UserGate использовал виртуальный адрес IP_address3.
Необходимо настроить правило типа NAT. Для этого перейдите в раздел Политики сети ➜ NAT и маршрутизация веб-интерфейса управления, нажмите Добавить и укажите следующие условия:
Объединить несколько сетей с помощью VPN site-to-site.
Для решения этой задачи необходимо настроить VPN тунель между граничными устройствами. В качестве таких устройств могут выступать UserGate NGFW, маршрутизаторы типа MikroTik и др.
Посмотреть настройки VPN site-to-site можно здесь или здесь.
После настройки VPN туннеля необходимо будет прописать маршруты для объединяемых сетей. Например, для случая на следующей схеме:
маршруты будут выглядеть следующим образом:
На устройстве с адресом 172.30.255.1:
Название |
Тип |
Адрес назначения |
Шлюз |
Интерфейс |
Метрика |
---|---|---|---|---|---|
for10.2.2.0 | unicast | 10.2.2.0/24 | 172.30.255.2 | tunnel3 | 0 |
for10.3.3.0 | unicast | 10.3.3.0/24 | 172.30.255.2 | tunnel3 | 0 |
На устройстве с адресом 172.30.255.2:
Название |
Тип |
Адрес назначения |
Шлюз |
Интерфейс |
Метрика |
---|---|---|---|---|---|
for10.0.0.0 | unicast | 10.0.0.0/24 | 172.30.255.1 | tunnel2 | 0 |
for10.1.1.0 | unicast | 10.1.1.0/24 | 172.30.255.1 | tunnel2 | 0 |
Где: 172.30.255.1 и 172.30.255.2 - адреса VPN интерфейсов граничных устройств, имена интерфейсов взяты для примера и их нужно поменять соответственно вашей рабочей схеме сети. Метрика - отвечает за приоритет маршрута и может быть любой, в общем случае можно оставить значение 0. Номера сетей вида 10.х.х.х нужно заменить на соответствующие вашей рабочей схеме.
При использовании VRF некоторые сервисы становятся недоступными.
Чаще всего проблема заключается в маршрутах до искомых сервисов. Надо иметь в виду, что сервисы ПО\HW UserGate запускаются в VRF "Маршрутизаторе по-умолчанию"(Default VRF), и необходимо внимательно следить за передачей маршрутов между виртуальными маршрутизаторами. Маршруты необходимо передавать в обе стороны(прямой и обратный).