NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

• Interface Type – обычно используют значение для Auto и корректный тип интерфейса определяется автоматически. • Расширенная опция No OSPF routers connected to this interface должна быть включена, если физический интерфейс не соединяется непосредственно с другим OSPFмаршрутизатором (другими словами, с межсетевым экраном NetDefend, работающим в качестве OSPF-маршрутизатора). Например, интерфейс может быть соединен только с клиентской сетью, в этом случае эта опция должна быть включена. Опция должна быть отключена, если физический интерфейс связан с другим межсетевым экраном, который настроен как OSPF-маршрутизатор. В данном примере, для физического интерфейса, соединенного с другим межсетевым экраном эта опция отключена. 4. Добавление правила динамической маршрутизации После этого для развертывания OSPF-сети следует определить правило динамической маршрутизации. Шаги по определению правил динамической маршрутизации: I. Добавить объект Dynamic Routing Policy Rule. Данное правило должно быть правилом импорта, с активной опцией From OSPF Process и выбранным ранее определенным объектом OSPF Router Process. После этого появится возможность импорта всех маршрутов из автономной системы OSPF AS. Кроме того, в поле дополнительного фильтра Or is within необходимо указать параметр allnets. Можно использовать более точный фильтр для сети назначения, в данном случае – это все сети. II. В только что добавленном объекте Dynamic Routing Policy Rule следует создать объект Routing Action и добавить таблицу, которая будет получать информацию о маршрутизации от OSPF маршрутизации, в список выбранных таблиц Selected. Обычно это таблица маршрутизации main. Нет необходимости в создании правила динамической маршрутизации для экспорта локальной таблицы маршрутизации в автономную систему, так как для объектов OSPF Interface экспорт осуществляется автоматически. Исключение составляют ситуации, когда маршрут проходит через шлюз (другими словами, промежуточный маршрутизатор). В таких случаях правило экспорта должно быть явно определено. Наиболее часто такие ситуации возникают при прохождении all-nets через маршрутизатор интернетпровайдера для доступа в Интернет. Более подробная информация приведена ниже. 5. Добавление правила динамической маршрутизации для маршрута all-nets Иногда для маршрута all-nets необходимо дополнительно определить правило динамической маршрутизации, например, в случае соединения межсетевого экрана с ISP. Шаги по определению таких правил: I. Добавить объект Dynamic Routing Policy Rule Данное правило должно быть правилом экспорта, с активной опцией From Routing Table и таблицей маршрутизации main, помещенной в список Selected. Кроме того, в поле дополнительного фильтра Or is within необходимо указать параметр allnets. II. В пределах только что добавленного объекта Dynamic Routing Policy Rule следует добавить объект OSPF Action. В настройках Export to Process данного объекта нужно выбрать объект OSPF Router Process, который представляет автономную систему OSPF AS. 6. Повторить все шаги для другого межсетевого экрана 188

Повторить шаги 1 – 5 для второго межсетевого экрана NetDefend автономной OSPF-системы. Объекты OSPF Router и OSPF Area на этих межсетевых экранах будут одинаковыми. Объекты OSPF Interface будут отличаться в зависимости от интерфейсов и сетей, входящих в OSPF систему. Если в одной OSPF-области будут находиться более двух межсетевых экранов, то остальные межсетевые экраны настраиваются аналогично. Обмен информацией по OSPF-маршрутизации начинается автоматически Когда новые настройки созданы и применены, OSPF запустится автоматически и начнет обмениваться информацией о маршрутизации. Поскольку OSPF динамическая и распределенная система, не имеет значения, в каком порядке была осуществлена настройка отдельных межсетевых экранов. Когда установлено физическое соединение между интерфейсами двух различных межсетевых экранов и на этих интерфейсах настроены объекты Router Process, OSPF начинает обмен информацией о маршрутизации. Проверка работоспособности OSPF Теперь можно проверить работоспособность OSPF и то, как идет обмен информацией о маршрутизации. Проверку можно осуществить, добавив запись в таблицу маршрутизации через CLI или Webинтерфейс. И в том и в другом случаях импортированные в таблицу маршрутизации маршруты OSPF будет буквой «О» слева от описания маршрута. Например, при использовании команды routes на экран будет выведена следующая запись: gw-world:/> routes Flags Network Iface Gateway Local IP Metric ----- -------------------- ----------- ------------------ ---------- ------ 192.168.1.0/24 lan 0 172.16.0.0/16 wan 0 o 192.168.2.0/24 wan 172.16.2.1 1 В данном случае маршрут для 192.168.2.0/24 был импортирован через OSPF и сеть может быть найдена на wan-интерфейсе со шлюзом 172.16.2.1. Шлюзом здесь является межсетевой экран NetDefend, через который передается трафик. Этот межсетевой экран может быть как соединен, так и не соединен с сетью назначения, но OSPF определил, что это оптимальный маршрут. Передача OSPF-трафика через туннель В некоторых случаях соединение между двумя межсетевыми экранами NetDefened, сконфигурированное с помощью объекта OSPF-Router может оказаться небезопасным, например, Интернет. В таких ситуациях можно настроить VPN-туннель между двумя межсетевыми экранами и указать OSPF, чтобы протокол использовал этот туннель для обмена OSPF-информацией. Ниже рассмотрен пример, когда протокол IPSec использован для организации VPN-туннеля. Для такой установки, кроме стандартных шагов настройки OSPF (которые приведены выше) следует выполнить следующие шаги: 1. Установка IPSec-туннеля Сначала следует обычным способом установить IPSec-туннель между двумя межсетевыми экранами A и B. Более подробная информация по установке IPSec приведена в Разделе 9.2, “Быстрая установка IPSec”. При настойке OSPF этот IPSec-туннель интерпретируется как любой другой интерфейс системы. 2. Выбор произвольной внутренней IP-сети 189

Повторить шаги 1 – 5 для второго межсетевого экрана NetDefend автономной OSPF-системы.<br />

Объекты OSPF Router и OSPF Area на этих межсетевых экранах будут одинаковыми. Объекты OSPF<br />

Interface будут отличаться в зависимости от интерфейсов и сетей, входящих в OSPF систему.<br />

Если в одной OSPF-области будут находиться более двух межсетевых экранов, то остальные<br />

межсетевые экраны настраиваются аналогично.<br />

Обмен информацией по OSPF-маршрутизации начинается автоматически<br />

Когда новые настройки созданы и применены, OSPF запустится автоматически и начнет<br />

обмениваться информацией о маршрутизации. Поскольку OSPF динамическая и распределенная<br />

система, не имеет значения, в каком порядке была осуществлена настройка отдельных межсетевых<br />

экранов.<br />

Когда установлено физическое соединение между интерфейсами двух различных межсетевых<br />

экранов и на этих интерфейсах настроены объекты Router Process, OSPF начинает обмен<br />

информацией о маршрутизации.<br />

Проверка работоспособности OSPF<br />

Теперь можно проверить работоспособность OSPF и то, как идет обмен информацией о<br />

маршрутизации.<br />

Проверку можно осуществить, добавив запись в таблицу маршрутизации через CLI или Webинтерфейс.<br />

И в том и в другом случаях импортированные в таблицу маршрутизации маршруты OSPF<br />

будет буквой «О» слева от описания маршрута. Например, при использовании команды routes на<br />

экран будет выведена следующая запись:<br />

gw-world:/> routes<br />

Flags Network Iface Gateway Local IP Metric<br />

----- -------------------- ----------- ------------------ ---------- ------<br />

192.168.1.0/24 lan 0<br />

172.16.0.0/16 wan 0<br />

o 192.168.2.0/24 wan 172.16.2.1 1<br />

В данном случае маршрут для 192.168.2.0/24 был импортирован через OSPF и сеть может быть<br />

найдена на wan-интерфейсе со шлюзом 172.16.2.1. Шлюзом здесь является межсетевой экран<br />

NetDefend, через который передается трафик. Этот межсетевой экран может быть как соединен, так и<br />

не соединен с сетью назначения, но OSPF определил, что это оптимальный маршрут.<br />

Передача OSPF-трафика через туннель<br />

В некоторых случаях соединение между двумя межсетевыми экранами NetDefened,<br />

сконфигурированное с помощью объекта OSPF-Router может оказаться небезопасным, например,<br />

Интернет.<br />

В таких ситуациях можно настроить VPN-туннель между двумя межсетевыми экранами и указать<br />

OSPF, чтобы протокол использовал этот туннель для обмена OSPF-информацией. Ниже рассмотрен<br />

пример, когда протокол IPSec использован для организации VPN-туннеля.<br />

Для такой установки, кроме стандартных шагов настройки OSPF (которые приведены выше) следует<br />

выполнить следующие шаги:<br />

1. Установка IPSec-туннеля<br />

Сначала следует обычным способом установить IPSec-туннель между двумя межсетевыми экранами<br />

A и B. Более подробная информация по установке IPSec приведена в Разделе 9.2, “Быстрая<br />

установка IPSec”.<br />

При настойке OSPF этот IPSec-туннель интерпретируется как любой другой интерфейс системы.<br />

2. Выбор произвольной внутренней IP-сети<br />

189

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!