04.03.2013 Views

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

данных физических интерфейсах определены VLAN-интерфейсы vlan5_if1 и vlan5_if2 с одинаковым<br />

тегом VLAN ID.<br />

Для работы VLAN-сети в прозрачном режиме следует создать таблицу маршрутизации c параметром<br />

Ordering равным only, которая будет содержать только 2 коммутируемых маршрута:<br />

Network Interface<br />

all-nets vlan5_if1<br />

all-nets vlan5_if2<br />

Вместо отдельных записей в данной таблице маршрутизации можно использовать один маршрут для<br />

группы интерфейсов.<br />

Для корректной работы в эту таблицу маршрутизации не следует включать другие некоммутируемые<br />

маршруты, так трафику, проходящему по этим маршрутам, будет добавляться некорректный тег<br />

VLAN ID.<br />

На последнем этапе для данной таблицы маршрутизации определяется PBR-правило.<br />

Включение прозрачного режима непосредственно на интерфейсах<br />

Рекомендуемый способ включения прозрачного режима работы описан выше, но существует<br />

возможность включения прозрачного режима непосредственно на интерфейсе. В этом случае<br />

коммутируемые маршруты по умолчанию добавляются в таблицу маршрутизации для интерфейса, а<br />

некоммутируемые маршруты автоматически удаляются. Примеры использования данного метода<br />

рассмотрены ниже.<br />

Высокая отказоустойчивость и прозрачный режим<br />

Коммутируемые маршруты не могут быть использованы в режиме высокой отказоустойчивости,<br />

поэтому прозрачный режим не может использоваться в кластерах с высокой отказоустойчивостью<br />

(High Availability Clusters, HA).<br />

При использовании режима высокой отказоустойчивости для того, чтобы разделить две сети, вместо<br />

коммутируемых маршрутов следует использовать Proxy ARP, более подробная информация о методе<br />

Proxy ARP приведена в Разделе 4.2.6, «Proxy ARP». Основные недостатки метода Proxy ARP: если<br />

пользователь подключается к другому интерфейсу системы NetDefendOS, необходимо изменять его<br />

IP-адрес и для Proxy ARP необходимо настраивать вручную соответствующие сетевые маршруты.<br />

Прозрачный режим и DHCP<br />

В большинстве сценариев использования прозрачного режима используются заранее известные<br />

фиксированные IP-адреса пользователей и протокол DHCP (динамического распределения адресов)<br />

не используется. Основное преимущество прозрачного режима заключается в том, что независимо от<br />

местонахождения пользователя система NetDefendOS определяет его IP-адрес через ARP-запросы и<br />

направляет трафик по заданным маршрутам.<br />

Тем не менее, DHCP-сервер можно использовать при установке прозрачного режима для<br />

распределения IP-адресов пользователей. При Интернет-соединении распределять публичные IPадреса<br />

может DHCP-сервер провайдера. В этом случае система NetDefendOS ДОЛЖНА быть<br />

настроена как пересылатель DHCP запросов (DHCP Relayer), передающий DHCP-трафик между<br />

пользователями и DHCP-сервером.<br />

4.7.2. Настройка доступа в Интернет<br />

Один из наиболее часто задаваемых вопросов при установке прозрачного режима: как правильно<br />

настроить доступ к Интернету? Ниже проиллюстрирован типичный сценарий получения доступа к<br />

Интернету пользователей IP-сети lannet через шлюз Интернет-провайдера с адресом gw_ip.<br />

210

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!