Межсетевые экраны и Интернет-маршрутизаторы D-Link

Маршрутизация может  осуществляться статическим или  динамическим способом.

Алгоритмы статической  маршрутизации представляют таблицы, составленные сетевым администратором. Содержимое этих таблиц может быть изменено только сетевым администратором.

Итак, статическая маршрутизация (Static routing) – это метод маршрутизации в сетях с коммутацией пакетов, при котором данные передаются по заданному пути. При конфигурировании таблиц маршрутизации должны быть указаны все взаимосвязи между логическими сетями, которые остаются неизменными.

Динамическая маршрутизация  предполагает, что маршрутизирующее устройство может автоматически  определять новые пути либо модифицировать информацию о существующих путях.

Динамическая маршрутизация (Dynamic routing) – это метод выбора маршрута в сетях с коммутацией каналов, учитывающий динамическое состояние выходных каналов хоста (локальная маршрутизация) или сети (глобальная маршрутизация). Алгоритмы динамической маршрутизации адаптируются к изменениям сетевой обстановки, анализируя поступающие сообщения об обновлении маршрутов и используя при этом протоколы маршрутизации такие, как RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border GatewayProtocol).

Осуществление маршрутизации в межсетевых экранах D-Link рассмотрено в разделе «Создание и проверка правил маршрутизации» приложения D «Управление межсетевыми экранами через Web-интерфейс».

Маршрутизация осуществляется, используя IP-адресацию сетей и  сетевых устройств. В версии IPv4 IP-адрес представляет собой 32-битное двоичное число, состоит из 4-х октетов и в десятичном виде записывается в виде четырех чисел, разделенных точками (например: 192.168.1.1). Существует также понятие «маска подсети». В десятичном представлении она имеет такой же вид, как и IP-адрес. Маска определяет, какая часть IP-адреса узла сети относится к адресу сети, а какая – к адресу самого узла в этой сети.

В версии IPv6 IP-адрес имеет 128-битное представление, состоит из 8 октетов, разделяющихся двоеточиями и записывается с использованием шестнадцатеричных чисел (например: СА81:0:0:0:800:800С:121:1).

/* Style Definitions */ table.MsoNormalTable {mso-style-name:

3.1.2 Сервисы DHCP

DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации узла) – это сетевой протокол, позволяющий хостам автоматически получать IP-адреса и другие параметры, необходимые для работы в сети TCP/IP. Эти адреса выбираются из предопределенного пула IP-адресов, который управляется сервером DHCP. Данный протокол работает по модели «клиент – сервер». Для автоматической конфигурации хост-клиент (DHCP-клиент ) на этапе конфигурации сетевого устройства обращается к DHCP-серверу и получает от него нужные параметры (например: IP-адрес, имя домена, период аренды IP-адреса). Чтобы адрес не «простаивал», DHCP-сервер предоставляет его на определенный администратором срок, это называется арендным договором (lease) . По истечении половины срока арендного договора DHCP-клиент запрашивает его возобновление, и DHCP-сервер продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес, арендный договор истекает, и адрес возвращается в пул адресов для повторного использования.

Рисунок 3.1 – Автоматическое назначение IP-адреса хосту

DHCP-клиент  в межсетевых экранах NetDefend

В состав системы NetDefendOS включена функция DHCP-клиент ( DHCP Client ), которая отвечает за динамическое получение адреса от DHCP-сервера (например, в случае подключения к Интернет-провайдеру по DHCP ). Используя данную функцию, можно получить IP-адрес интерфейса, адрес локальной сети, к которой относится данный интерфейс, IP-адрес шлюза по умолчанию и IP-адреса DNS-серверов.

Опция DHCP Client может быть включена или отключена администратором в свойствах интерфейса. По умолчанию это свойство отключено на всех Ethernet-интерфейсах, за исключением WAN1-порта (илиWAN-порта, в зависимости от модели).

 

Рисунок 3.2 – Активация-деактивация  функции DHCP-клиент на примере межсетевого  экрана DFL-860E

 

Если функция DHCP-клиент активирована на каком-либо ethernet-интерфейсе, то IP-адресация, относящая к данному  интерфейсу (IP-адрес интерфейса/адрес  сети/ IP-адреса шлюза и DNS), не может  быть изменена или удалена. Для изменения  этих адресов необходимо отключить  опцию DHCP Client .

DHCP-сервер  в межсетевых экранах NetDefend

Как уже упоминалось  выше, DHCP-сервер распределяет IP-адреса из определенного пула IP-адресов  и управляет ими. В системе NetDеfendOSa DHCP-серверы не ограничены использованием одного диапазона IP-адресов, а могут применять любой диапазон IP-адресов, который определен как объект IP-адрес.

В NetDеfendOS администратор  имеет возможность настроить  один или несколько логических DHCP-серверов. Фильтрация запросов DHCP-клиентов к  разным DHCP-серверам зависит от двух параметров:

Ø Интерфейс (Interface)

Каждый интерфейс  в системе NetDеfendOS может иметь, по крайней мере, один логический одиночный DHCP-сервер. Другими словами, NetDеfendOS может предоставить DHCP-клиентам IP-адреса из разных диапазонов в зависимости  от интерфейса клиента.

Ø IP-адрес ретранслятора (Relayer IP)

IP-адрес ретранслятора,  передаваемый в IP-пакете, также  используется для определения  подходящего сервера. Значение  по умолчанию all-nets (все сети) делает все IP-адреса допустимыми, и тогда выбор DHCP-сервера зависит только от интерфейса.

Список DHCP-серверов формируется по мере занесения в  него новых строк. Когда в системе NetDеfendOS выбирается DHCP-сервер для обслуживания запроса клиента, поиск по списку осуществляется сверху вниз. Выбор  падает на верхний по списку сервер, соответствующий комбинации параметров (интерфейс и IP-адрес устройства, выполняющего функцию DHCP Relay). Если совпадений в списке не найдено, запрос игнорируется.

 
Рисунок 3.3 – Составление списка DHCP-серверов на примере межсетевого  экрана DFL-860E

 

Для DHCP-серверов задаются следующие параметры (рисунок 3.4):

Вкладка General :

Name – Символьное имя сервера. Используется в последующих настройках как ссылка на интерфейс или как ссылка в сообщениях для записи в журнал событий (log).

Interface Filter – Интерфейс источника, на котором система NetDеfendOS будет ожидать получения DHCP-запросов.

Relay Filter – Каждый DHCP-сервер должен иметь определенное значение фильтра по IP-адресу ретранслятора. Возможны следующие варианты:

˗ all - nets (0.0.0.0/0) – значение по умолчанию. При выборе данного варианта обслуживаются все DHCP-запросы, вне зависимости от того,поступили они от клиентов локальной сети или через DHCP Relayer;

˗ значение 0.0.0.0 – фильтр 0.0.0.0 будет пропускать DHCP-запросы, приходящие только от клиентов локальной сети. Запросы,пересылаемые DHCP Relayer, будут игнорироваться.

˗ определенный IP -адрес – указывается IP-адрес DHCP-ретранслятора (DHCP Relayer), которому разрешено перенаправлять запросы. Запросы от локальных клиентов или других DHCP-ретрансляторов будут игнорироваться.

IP Address pool – Диапазон IP-адресов (группа или сеть), который используется DHCP-сервером для распределения IP-адресов DHCP-клиентам в соответствии с DHCP-арендой.

Netmask – Маска подсети, которая будет рассылаться DHCP-клиентам.

Вкладка Options :

Default GW – указывается IP-адрес устройства, выполняющего функции основного шлюза, который передается клиенту (маршрутизатор, к которому подключается клиент).

Domain – имя домена, используемое DNS для определения IP-адреса. Например, domain.com.

Lease Time – время предоставленной DHCP-аренды в секундах. По истечении данного периода DHCP-клиент должен возобновить аренду.

Primary/Secondary DNS – IP-адреса DNS-серверов.

Primary / Secondary NBNS / WINS – IP-адреса WINS-серверов среды Microsoft, которые используют NBNS-серверы для установления соответствий между IP-адресами и именами в NetBIOS.

Next Server – определяет IP-адрес сервера, с которого осуществляется загрузка операционной системы хостов, в случае загрузки по сети (например, TFTP-сервера).

3.1.3 Сервисы DNS

DNS (Domain Name System – система  доменных имён) – служба преобразования  текстового доменного имени в  цифровой IP-адрес. Например, текстовое  имя поискового сервера yandex.ru соответствует IP-адресу 213.180.204.11, а сервера dlink.ru → 213.234.241.211. Доменные имена, также как и IP-адреса одной сети, уникальны, т.е. в глобальной сети нет двух одинаковых доменных имен.

DNS – это сеть  серверов с базами данных, распределенная  в сети Интернет. Все серверы  связаны между собой, и при  поступлении запроса на расшифровку  и невозможности по какой-либо  причине определить его самостоятельно, сервер передает этот запрос  другим подобным серверам по  специально разработанным схемам  до тех пор, пока доменное  имя не будет переведено в  IP-адрес.

Для выполнения DNS-решений  в системе NetDefendOS предусмотрена встроенная опция DNS-клиент, которую можно настраивать на использование трех DNS-серверов: Primary Server (первый сервер),Secondary Server (второй сервер) и Tertiary Server (третий сервер). Для функционирования DNS необходимо настроить хотя бы Primary Server . Рекомендуется настраивать первый и второй серверы для непрерывной работы при отказе первичного сервера:

3.1.4 Резервирование  маршрутов (Route Failover)

При подключении  корпоративной сети ко второму провайдеру рано или поздно возникает вопрос обеспечения рационального использования  двух Интернет-каналов и возможность  автоматического резервирования, чтобы  работоспособность сети быстро восстанавливалась  при возникновении проблем на одном из каналов.

Основные задачи, которые можно решить при использовании  резервирования каналов в сеть Интернет:

Ø перенаправление  трафика при обрыве одного из каналов;

Ø направление чувствительного  к задержкам трафика в более  «быстрый» канал, в то время как  остальной трафик, некритичный к  скорости доставки пакетов, заворачивать в «медленный», но более дешёвый  канал;

Ø переключение на более  дорогой канал только на время  проблем с дешёвым каналом.

Для таких ситуаций в межсетевых экранах D-Link серии NetDefend предусмотрена возможность переключения маршрутов при отказе (Route Failover): в случае отказа одного из маршрутов трафик автоматически начинает передаваться по другому, резервному маршруту. Система NetDefendOS выявляет неудачные маршруты, используя при этом функцию мониторинга маршрутов Route Monitoring, и перенаправляет трафик на резервный маршрут.

 

Рисунок 3.8 – Резервирование каналов

Выполнение данной задачи с использованием межсетевых экранов NetDefend заключается в активировании  опции Monitor for Route Failover :

 

Рисунок 3.9 – Использование  функции мониторинга маршрутов (Route Monitoring) при резервировании каналов  в межсетевых экранах NetDefend

В сценарии с основным (предпочтительным) и резервным маршрутами в основной маршрут добавляется Route Monitoring. В резервном маршруте данная опция не указывается, если не требуется переключения при отказе (failover). Когда Route Monitoring для маршрута включен, нужно выбрать один из следующих методов контроля:

Ø Monitor Interface Link Status – cистемой NetDеfendOS контролируется состояние подключения интерфейса, определенного для маршрута. Маршрут считается активным, пока существует физическое подключение интерфейса. Этот метод обеспечивает самый быстрый анализ маршрута, так как сразу обнаруживаются любые изменения состояния соединений.

Ø Monitor Gateway using ARP – При мониторинге шлюза как следующего сегмента (или как еще называют – next - hop) маршрута его доступность определяется при помощи АRP-запросов. До тех пор, пока шлюз отвечает на эти запросы, маршрут функционирует нормально.

Следует заметить, что  функцию Route Monitoring нельзя применять  для автоматически созданных  маршрутов, так как им присвоен специальный  статус, и обращение к ним происходит по-другому. К таким маршрутам  относятся маршруты, автоматически  создаваемые для физических интерфейсов  при запуске системы NetDеfendOS. Если же данным маршрутам требуется активировать Route Monitoring, то их необходимо сначала  удалить, а затем добавить вручную, как новые маршруты.

При определении  маршрута необходимо установить метрику (metric) маршрута. Метрика – это целое положительное число, которое указывает на приоритет маршрута. При наличии двух маршрутов для одного и того же адреса назначения система NetDеfendOS выберет маршрут с минимальным значением метрики.

ВНИМАНИЕ: приоритет  основного подключения должен быть выше (т.е. значение метрики – меньшее), чем у резервного подключения.

Дополнительная  функция системы NetDеfendOS HostMonitoring (рисунок 3.9) обеспечивает гибкий и легко конфигурируемый способ контроля целостности маршрута. Данный метод позволяет межсетевому экрану посылать запрос одному или нескольким внешним узлам о доступности конкретного маршрута.

 

 

Рисунок 3.6 – Использование  функции DNS-клиент на примере межсетевого  экрана DFL-860E

Настройка хотя бы одного DNS-сервера необходима для работы следующих модулей системы NetDеfendOS: автоматическая синхронизация времени; доступ к внешнему авторизованному  СА-серверу для получения CA-сертификатов; функций UTM (Unified Threat Management) для использования внешних сервисов Anti-Virus и IDP .

DNS-сервис системы  NetDеfendOS позволяет информировать  DNS-серверы при изменении IP-адреса  межсетевого экрана NetDefend. Это называется Dynamic DNS и используется при изменении внешних IP-адресов межсетевых экранов NetDefend.

Технология Dynamic DNS может применяться в VPN-решениях, где обе конечные точки используют динамические IP-адреса. Если же динамический адрес использует только одна конечная точка туннеля, то при настройках VРN-туннеля в системе NetDеfendOS нужно выбрать функцию VРN keep alive.

В папке меню System → Misc. Clients определено несколько динамических DNS-сервисов:

 

Рисунок 3.7 – Использование  механизма Dynamic DNS на примере межсетевого  экрана DFL-860E

HTTP Poster – сгенерированный динамический DNS-клиент, который позволяет определить 3 различных любых URL-адреса. В этом заключается различие между конкретным DNS-клиентом (DynDNS, D-Link DynDNS и т.д.) и HTTP Poster.