NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
данных физических интерфейсах определены VLAN-интерфейсы vlan5_if1 и vlan5_if2 с одинаковым<br />
тегом VLAN ID.<br />
Для работы VLAN-сети в прозрачном режиме следует создать таблицу маршрутизации c параметром<br />
Ordering равным only, которая будет содержать только 2 коммутируемых маршрута:<br />
Network Interface<br />
all-nets vlan5_if1<br />
all-nets vlan5_if2<br />
Вместо отдельных записей в данной таблице маршрутизации можно использовать один маршрут для<br />
группы интерфейсов.<br />
Для корректной работы в эту таблицу маршрутизации не следует включать другие некоммутируемые<br />
маршруты, так трафику, проходящему по этим маршрутам, будет добавляться некорректный тег<br />
VLAN ID.<br />
На последнем этапе для данной таблицы маршрутизации определяется PBR-правило.<br />
Включение прозрачного режима непосредственно на интерфейсах<br />
Рекомендуемый способ включения прозрачного режима работы описан выше, но существует<br />
возможность включения прозрачного режима непосредственно на интерфейсе. В этом случае<br />
коммутируемые маршруты по умолчанию добавляются в таблицу маршрутизации для интерфейса, а<br />
некоммутируемые маршруты автоматически удаляются. Примеры использования данного метода<br />
рассмотрены ниже.<br />
Высокая отказоустойчивость и прозрачный режим<br />
Коммутируемые маршруты не могут быть использованы в режиме высокой отказоустойчивости,<br />
поэтому прозрачный режим не может использоваться в кластерах с высокой отказоустойчивостью<br />
(High Availability Clusters, HA).<br />
При использовании режима высокой отказоустойчивости для того, чтобы разделить две сети, вместо<br />
коммутируемых маршрутов следует использовать Proxy ARP, более подробная информация о методе<br />
Proxy ARP приведена в Разделе 4.2.6, «Proxy ARP». Основные недостатки метода Proxy ARP: если<br />
пользователь подключается к другому интерфейсу системы NetDefendOS, необходимо изменять его<br />
IP-адрес и для Proxy ARP необходимо настраивать вручную соответствующие сетевые маршруты.<br />
Прозрачный режим и DHCP<br />
В большинстве сценариев использования прозрачного режима используются заранее известные<br />
фиксированные IP-адреса пользователей и протокол DHCP (динамического распределения адресов)<br />
не используется. Основное преимущество прозрачного режима заключается в том, что независимо от<br />
местонахождения пользователя система NetDefendOS определяет его IP-адрес через ARP-запросы и<br />
направляет трафик по заданным маршрутам.<br />
Тем не менее, DHCP-сервер можно использовать при установке прозрачного режима для<br />
распределения IP-адресов пользователей. При Интернет-соединении распределять публичные IPадреса<br />
может DHCP-сервер провайдера. В этом случае система NetDefendOS ДОЛЖНА быть<br />
настроена как пересылатель DHCP запросов (DHCP Relayer), передающий DHCP-трафик между<br />
пользователями и DHCP-сервером.<br />
4.7.2. Настройка доступа в Интернет<br />
Один из наиболее часто задаваемых вопросов при установке прозрачного режима: как правильно<br />
настроить доступ к Интернету? Ниже проиллюстрирован типичный сценарий получения доступа к<br />
Интернету пользователей IP-сети lannet через шлюз Интернет-провайдера с адресом gw_ip.<br />
210