Маршрутизация
Используется для маршрутизации сетевого трафика, проходящего через Ideco NGFW.
Last updated
Используется для маршрутизации сетевого трафика, проходящего через Ideco NGFW.
Last updated
Название службы раздела Маршрутизация: ideco-routing-backend.
Список служб для других разделов доступен по ссылке.
Преимущества маршрутизации Ideco NGFW:
Возможность указывать сеть источника при маршрутизации внешних сетей;
Функция адаптивности (в случае недоступности шлюза или интерфейса поиск маршрута продолжится по следующим правилам в таблице маршрутизации).
Доступность шлюза проверяется с помощью ICMP-запросов к набору IP-адресов, который определяется производителем сетевой карты.
В веб-интерфейсе Ideco NGFW есть возможность маршрутизировать локальные и внешние сети. Создавать и редактировать маршруты можно в разделе Сервисы -> Маршрутизация.
Для организации доступа в удаленные сети через роутер в локальной сети читайте статью по ссылке.
При маршрутизации локальных и внешних сетей доступны GRE-интерфейсы в качестве шлюза.
Маршрутизация локальных сетей действует внутри локальных сетей. Поэтому при добавлении маршрута отсутствует поле Адрес источника. Для добавления нового маршрута перейдите на вкладку маршрутизации Локальных сетей и нажмите Добавить:
Адрес назначения - выберите объекты, при обращении к которым будет применяться это правило. Возможные типы объектов: IP-адрес, подсеть;
Шлюз - выберите объект, через который направляется трафик. Возможный тип объекта: IP-адрес
Комментарий - необязательное поле для описания маршрута. Значение - не длиннее 128 символов.
При создании IPSec-подключения в разделе Сервисы -> IPsec с включенной опцией Автоматическое создание маршрутов будут добавляться маршруты до локальных сетей NGFW в таблицу Маршрутизации локальных сетей.
Для добавления нового маршрута перейдите на вкладку маршрутизации Внешних сетей и нажмите кнопку Добавить. На странице откроется форма создания маршрута:
Опишем назначение каждой опции:
Адрес источника - выберите объекты, для которых будет применяться правило. Возможные типы объектов: группы, пользователи, IP-адрес, домен, диапазон IP-адресов, подсеть, список адресов;
Адрес назначения - выберите объекты, при обращении к которым будет применяться правило. Возможные типы объектов: группы, пользователи, IP-адрес, домен, диапазон IP-адресов, подсеть, список адресов;
Шлюз - выберите объект, через который будет направлен трафик. Возможный тип объекта: сетевой интерфейс, IP-адрес;
Использовать только если шлюз доступен (адаптивность) - если свойство включено, то при недоступности шлюза или интерфейса поиск маршрута продолжится по следующим правилам маршрутизации, а если свойство отключено (по умолчанию), то трафик отправляется в выбранный шлюз или интерфейс. Если шлюз недоступен или интерфейс не работает, то трафик будет отброшен (destination unreachable);
Комментарий - необязательное поле для описания маршрута. Значение не должно быть длиннее 128 символов.
После сохранения маршрута страница выглядит так:
Статусы в столбце Используется:
Трафик, не попавший под условия правил маршрутизации, или с объектом Любой в качестве шлюза, будет отправлен в Балансировку и резервирование.
При маршрутизации трафика через подключения к провайдеру важно понимать, что чаще всего одного маршрута недостаточно, понадобится также переопределить адрес с помощью SNAT, иначе такой маршрут просто не будет работать. SNAT можно настроить с помощью файрвола.
Кнопки и повышают или понижают приоритет правила.
- маршрут активен и трафик, попадающий под условия маршрута, будет перенаправлен в указанный Шлюз;
- маршрут не активен и трафик, попадающий под условия маршрута, не будет обработан правилом.
