NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Для каждого межсетевого экрана требуется выбрать произвольную IP-сеть с внутренними IPадресами. Например, для межсетевого экрана A – 192.168.55.0/24. Эта сеть используется только при настройке OSPF и никогда не будет связана с реальной физической сетью. 3. Определение OSPF-интерфейса для туннеля В системе NetDefendOS необходимо определить объект OSPF Interface, в котором в качестве параметра Interface выступает IPSec-туннель. В параметре Type необходимо указать значение pointto-point, в параметре Network – выбрать сеть, в нашем примере 192.168.55.0/24. Объект OSPF Interface сообщает системе NetDefendOS о том, что любое относящееся к OSPF соединение, к узлам сети 192.168.55.0/24 должно быть отправлено через IPSec-туннель. 4. Определение объекта OSPF Neighbor Далее следует явно указать OSPF, как найти соседний OSPF-маршрутизатор, для чего следует определить в системе NetDefendOS объект OSPF Neighbor. Данный объект состоит из объединения IPSec-туннеля (который рассматривается как интерфейс) и IP-адреса маршрутизатора с другой стороны туннеля. Для IP-адреса маршрутизатора используется любой уникальный IP-адрес сети 192.168.55.0/24. Например, 192.168.55.1. После установки OSPF будет обращаться к объекту OSPF Neighbor и пытаться посылать сообщения к IP-адресу 192.168.55.1. Объект OSPF Interface, определенный на предыдущем шаге, сообщает системе NetDefendOS о том, что трафик, направленный OSPF к данному IP-адресу должен быть передан через IPSec-туннель. 5. Установка локального IP для конечной точки туннеля. В заключение установки в параметрах межсетевого экрана A требуется изменить следующие параметры, отвечающие за установку IPSec-туннеля с межсетевым экраном B: I. В свойствах IPSec-туннеля, в параметре Local Network необходимо установить значение all-nets. Такая настройка работает как фильтр, позволяющий пропускать в туннель весь трафик. II. В свойствах IPSec, касающихся маршрутизации следует включить опцию Specify address manually (выбрать адрес вручную) и ввести IP-адрес, например, 192.168.55.1. Эта настройка устанавливает IP конечной точки туннеля, в данном случае 192.168.55.1, и любой OSPF-трафик будет отправляться на межсетевой экран A этим IP-адресом источника. Результатом выполнения этих настроек будет являться маршрут к интерфейсу “core” для OSPFтрафика, получаемого от межсетевого экрана A. Другими словами, данный трафик предназначается непосредственно для системы NetDefendOS. 6. Повторение указанных шагов для другого межсетевого экрана Указанные выше настройки позволяют OSPF-трафику протекать от межсетевого экрана A к межсетевому экрану B. Все шаги должны быть повторены для межсетевого экрана B, использующего тот же IPSec-туннель, единственное отличие – другая произвольная внутренняя IP-сеть для установки OSPF. Совет: Через туннель может передаваться не только OSPF-трафик Через VPN-туннель помимо OSPF-трафика могут передаваться и другие типы трафика. В данном случае нет требований для выделения туннеля для передачи только OSPF-трафика. 190
4.5.6. Пример OSPF В данном разделе рассматриваются команды интерфейса для осуществления сценария описанного в Разделе 4.5.5, “Настройки OSPF”. Сценарий VPN IPSec не рассматривается. Пример 4.7. Создание объекта OSPF Router Process На первом межсетевом экране из OSPF AS создается объект OSPF Router Process. Web-интерфейс 1. Перейти на вкладку Routing > OSPF > Add > OSPF Routing Process 2. Определить имя для объекта, например as_0 3. OK Эти действия необходимо повторить для всех межсетевых экранов NetDefend, входящих в OSPF AS. Пример 4.8. Добавление OSPF Area Теперь к объекту OSPF Router Process as_0 следует добавить объект OSPF Area, которая будет являться магистральной зоной с ID 0.0.0.0. Web-интерфейс 1. Перейти на вкладку Routing > OSPF 2. Выбрать процесс маршрутизации as_0 3. Выбрать Add > OSPF Area 4. Задать для зоны свойства: 5. OK • Ввести соответствующее имя. Например, area_0 • Определить Area ID как 0.0.0.0. Эти действия необходимо повторить для всех межсетевых экранов NetDefend, входящих в OSPF AS. Пример 4.9. Добавление объекта OSPF Interface Добавить для каждого физического интерфейса из OSPF-области area_0 объект OSPF Interface. Web-интерфейс 1. Перейти на вкладку Routing > OSPF > as_0 > area_0 > OSPF Interfaces 2. Выбрать Add > OSPF Interface 3. Выбрать Interface. Например, lan 4. OK При выборе только значения параметра Interface значения в поле Network устанавливается сеть, связанная с этим интерфейсом. В данном случае lannet. Эти действия необходимо повторить для всех интерфейсов входящих в OSPF-область, на данном межсетевом экране NetDefend, а затем для всех остальных межсетевых экранов, входящих в OSPF AS. Пример 4.10. Импорт маршрутов из OSPF AS в таблицу маршрутизации main 191
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143 and 144: Рисунок 4.1 Сценарий
- Page 145 and 146: Рисунок 4.2. Примене
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153 and 154: опрашивать один ил
- Page 155 and 156: 4.2.5. Расширенные на
- Page 157 and 158: Рисунок 4.4. Пример Pr
- Page 159 and 160: был хотя бы маршрут
- Page 161 and 162: • Каждый ISP предост
- Page 163 and 164: 2. Если найден тольк
- Page 165 and 166: маршрут не изменяе
- Page 167 and 168: gw-world:/> add RouteBalancingInsta
- Page 169 and 170: подсетей, OSPF может
- Page 171 and 172: Совет: Кольцевая то
- Page 173 and 174: ASBR Граничные маршр
- Page 175 and 176: В примере виртуаль
- Page 177 and 178: Объект Автономная
- Page 179 and 180: 4.5.3.2. Объект OSPF Area и
- Page 181 and 182: Обмен информацией
- Page 183 and 184: 183
- Page 185 and 186: внешние маршруты, и
- Page 187 and 188: Offset Metric Метрика уве
- Page 189: Повторить шаги 1 - 5
- Page 193 and 194: 4.6. Многоадресная м
- Page 195 and 196: Рисунок 4.14. Многоад
- Page 197 and 198: Рисунок 4.15 Многоад
- Page 199 and 200: Рисунок 4.16. Работа
- Page 201 and 202: 4. OK 4.6.3.2. Настройка I
- Page 203 and 204: 4. OK • Source Interface: wan •
- Page 205 and 206: По умолчанию: 30,000 IGM
- Page 207 and 208: маршрутизатор и ис
- Page 209 and 210: Шаги по установки,
- Page 211 and 212: Рисунок 4.18 Доступ в
- Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •
- Page 215 and 216: 3. OK • Interfaces: Выбрат
- Page 217 and 218: • Cisco proprietary PVST+ Protoco
- Page 219 and 220: • RewriteLog - Перезапис
- Page 221 and 222: • Интерфейс Каждый
- Page 223 and 224: 1. Зайдите System > DHCP > D
- Page 225 and 226: В этом примере демо
- Page 227 and 228: 1. Добавьте VLAN интер
- Page 229 and 230: Базовые настройки
- Page 231 and 232: применению интерфе
- Page 233 and 234: Рекомендуется выпо
- Page 235 and 236: TCP/IP. В системе NetDefend
- Page 237 and 238: содержимого». • Ан
- Page 239 and 240: «черного списка» б
Для каждого межсетевого экрана требуется выбрать произвольную IP-сеть с внутренними IPадресами.<br />
Например, для межсетевого экрана A – 192.168.55.0/24.<br />
Эта сеть используется только при настройке OSPF и никогда не будет связана с реальной физической<br />
сетью.<br />
3. Определение OSPF-интерфейса для туннеля<br />
В системе NetDefendOS необходимо определить объект OSPF Interface, в котором в качестве<br />
параметра Interface выступает IPSec-туннель. В параметре Type необходимо указать значение pointto-point,<br />
в параметре Network – выбрать сеть, в нашем примере 192.168.55.0/24.<br />
Объект OSPF Interface сообщает системе NetDefendOS о том, что любое относящееся к OSPF<br />
соединение, к узлам сети 192.168.55.0/24 должно быть отправлено через IPSec-туннель.<br />
4. Определение объекта OSPF Neighbor<br />
Далее следует явно указать OSPF, как найти соседний OSPF-маршрутизатор, для чего следует<br />
определить в системе NetDefendOS объект OSPF Neighbor. Данный объект состоит из объединения<br />
IPSec-туннеля (который рассматривается как интерфейс) и IP-адреса маршрутизатора с другой<br />
стороны туннеля.<br />
Для IP-адреса маршрутизатора используется любой уникальный IP-адрес сети 192.168.55.0/24.<br />
Например, 192.168.55.1.<br />
После установки OSPF будет обращаться к объекту OSPF Neighbor и пытаться посылать сообщения к<br />
IP-адресу 192.168.55.1. Объект OSPF Interface, определенный на предыдущем шаге, сообщает<br />
системе NetDefendOS о том, что трафик, направленный OSPF к данному IP-адресу должен быть<br />
передан через IPSec-туннель.<br />
5. Установка локального IP для конечной точки туннеля.<br />
В заключение установки в параметрах межсетевого экрана A требуется изменить следующие<br />
параметры, отвечающие за установку IPSec-туннеля с межсетевым экраном B:<br />
I. В свойствах IPSec-туннеля, в параметре Local Network необходимо установить значение all-nets.<br />
Такая настройка работает как фильтр, позволяющий пропускать в туннель весь трафик.<br />
II. В свойствах IPSec, касающихся маршрутизации следует включить опцию Specify address<br />
manually (выбрать адрес вручную) и ввести IP-адрес, например, 192.168.55.1. Эта настройка<br />
устанавливает IP конечной точки туннеля, в данном случае 192.168.55.1, и любой OSPF-трафик<br />
будет отправляться на межсетевой экран A этим IP-адресом источника.<br />
Результатом выполнения этих настроек будет являться маршрут к интерфейсу “core” для OSPFтрафика,<br />
получаемого от межсетевого экрана A. Другими словами, данный трафик предназначается<br />
непосредственно для системы NetDefendOS.<br />
6. Повторение указанных шагов для другого межсетевого экрана<br />
Указанные выше настройки позволяют OSPF-трафику протекать от межсетевого экрана A к<br />
межсетевому экрану B. Все шаги должны быть повторены для межсетевого экрана B, использующего<br />
тот же IPSec-туннель, единственное отличие – другая произвольная внутренняя IP-сеть для<br />
установки OSPF.<br />
Совет: Через туннель может передаваться не только OSPF-трафик<br />
Через VPN-туннель помимо OSPF-трафика могут передаваться и другие типы<br />
трафика. В данном случае нет требований для выделения туннеля для передачи только<br />
OSPF-трафика.<br />
190