Здраво, ово је други чланак о НГФВ решењу компаније . Сврха овог чланка је да покаже како инсталирати УсерГате заштитни зид на виртуелни систем (користићу софтвер за виртуелизацију ВМваре Воркстатион) и извршити његову почетну конфигурацију (омогућити приступ са локалне мреже преко УсерГате гатеваи-а на Интернет).
1. Представљање
За почетак ћу описати различите начине имплементације овог гејтвеја у мрежу. Желео бих да приметим да у зависности од изабране опције повезивања, одређене функционалности мрежног пролаза можда неће бити доступне. УсерГате решење подржава следеће начине повезивања:
-
Л3-Л7 заштитни зид
-
Л2 транспарентни мост
-
Л3 транспарентни мост
-
Практично у јаз, користећи ВЦЦП протокол
-
Практично у јазу, користећи рутирање засновано на политикама
-
Рутер на штапићу
-
Експлицитно наведен ВЕБ прокси
-
УсерГате као подразумевани гатеваи
-
Надгледање порта огледала
УсерГате подржава 2 типа кластера:
-
Конфигурација кластера. Чворови комбиновани у конфигурациони кластер одржавају конзистентна подешавања у целом кластеру.
-
Фаиловер кластер. До 4 конфигурациона чвора кластера могу се комбиновати у кластер за превазилажење грешке који подржава рад у активно-активном или активно-пасивном режиму. Могуће је саставити неколико кластера за превазилажење грешке.
2. Инсталација
Као што је поменуто у претходном чланку, УсерГате се испоручује као хардверски и софтверски пакет или се примењује у виртуелном окружењу. Са вашег личног налога на веб локацији преузмите слику у ОВФ (Отворени формат виртуелизације), овај формат је погодан за ВМВаре и Орацле Виртуалбок добављаче. Слике дискова виртуелне машине се испоручују за Мицрософт Хипер-в и КВМ.
Према веб локацији УсерГате, да би виртуелна машина радила исправно, препоручује се коришћење најмање 8Гб РАМ-а и 2-језгарни виртуелни процесор. Хипервизор мора да подржава 64-битне оперативне системе.
Инсталација почиње увозом слике у изабрани хипервизор (ВиртуалБок и ВМВаре). У случају Мицрософт Хипер-в и КВМ, потребно је да креирате виртуелну машину и наведете преузету слику као диск, а затим онемогућите услуге интеграције у подешавањима креиране виртуелне машине.
Подразумевано, након увоза у ВМВаре, креира се виртуелна машина са следећим подешавањима:
Као што је горе написано, мора постојати најмање 8Гб РАМ-а и поред тога морате додати 1Гб на сваких 100 корисника. Подразумевана величина чврстог диска је 100Гб, али то обично није довољно за чување свих евиденција и подешавања. Препоручена величина је 300Гб или више. Због тога у својствима виртуелне машине мењамо величину диска на жељену. У почетку, виртуелни УсерГате УТМ долази са четири интерфејса додељена зонама:
Управљање - први интерфејс виртуелне машине, зона за повезивање поузданих мрежа са којих је дозвољено управљање УсерГате-ом.
Трустед је други интерфејс виртуелне машине, зона за повезивање поузданих мрежа, на пример, ЛАН мрежа.
Унтрустед је трећи интерфејс виртуелне машине, зона за интерфејсе повезане са непоузданим мрежама, на пример, на Интернет.
ДМЗ је четврти интерфејс виртуелне машине, зона за интерфејсе повезане на ДМЗ мрежу.
Затим покрећемо виртуелну машину, иако у приручнику пише да треба да изаберете Алатке за подршку и извршите фабричко ресетовање УТМ-а, али као што видите, постоји само један избор (УТМ прво покретање). Током овог корака, УТМ конфигурише мрежне адаптере и повећава величину партиције чврстог диска на пуну величину диска:
Да бисте се повезали на УсерГате веб интерфејс, морате се пријавити преко зоне управљања; ово је одговорност етх0 интерфејса, који је конфигурисан да аутоматски добије ИП адресу (ДХЦП). Ако није могуће доделити адресу интерфејсу за управљање аутоматски помоћу ДХЦП-а, она се може експлицитно подесити помоћу ЦЛИ (Интерфејс командне линије). Да бисте то урадили, потребно је да се пријавите на ЦЛИ користећи корисничко име и лозинку са пуним администраторским правима (Админ са великим словом подразумевано). Ако УсерГате уређај није прошао почетну иницијализацију, онда за приступ ЦЛИ морате користити Админ као корисничко име и утм као лозинку. И откуцајте команду као што је ифаце цонфиг –наме етх0 –ипв4 192.168.1.254/24 –енабле труе –моде статиц. Касније идемо на УсерГате веб конзолу на наведену адресу, требало би да изгледа отприлике овако:https://UserGateIPaddress:8001:
У веб конзоли настављамо инсталацију, треба да изаберемо језик интерфејса (тренутно је то руски или енглески), временску зону, затим прочитамо и прихватимо уговор о лиценци. Подесите пријаву и лозинку за пријаву на интерфејс за управљање вебом.
3. Подешавање
Након инсталације, овако изгледа прозор веб интерфејса за управљање платформом:
Затим морате да конфигуришете мрежне интерфејсе. Да бисте то урадили, у одељку „Интерфејси“ морате их омогућити, поставити исправне ИП адресе и доделити одговарајуће зоне.
Одељак „Интерфејси“ приказује све физичке и виртуелне интерфејсе доступне у систему, омогућава вам да промените њихова подешавања и додате ВЛАН интерфејсе. Такође приказује све интерфејсе сваког чвора кластера. Подешавања интерфејса су специфична за сваки чвор, односно нису глобална.
У својствима интерфејса:
-
Омогућите или онемогућите интерфејс
-
Одредите тип интерфејса - Лаиер 3 или Миррор
-
Доделите зону интерфејсу
-
Доделите Нетфлов профил за слање статистичких података Нетфлов колектору
-
Промените физичке параметре интерфејса - МАЦ адресу и МТУ величину
-
Изаберите тип доделе ИП адресе - без адресе, статичка ИП адреса или добијена преко ДХЦП-а
-
Конфигуришите ДХЦП релеј на изабраном интерфејсу.
Дугме „Додај“ вам омогућава да додате следеће типове логичких интерфејса:
-
ВЛАН
-
обвезница
-
Мост
-
ПППоЕ
-
ВПН
-
Тунел
Поред претходно наведених зона са којима се испоручује слика Усергате-а, постоје још три унапред дефинисана типа:
Кластер - зона за интерфејсе који се користе за рад кластера
ВПН за Сите-то-Сите - зона у којој су смештени сви Оффице-Оффице клијенти повезани на УсерГате преко ВПН-а
ВПН за даљински приступ - зона која укључује све мобилне кориснике повезане на УсерГате преко ВПН-а
Администратори УсерГате-а могу да промене подешавања подразумеваних зона и да креирају додатне зоне, али као што је наведено у приручнику верзије 5, може се креирати највише 15 зона. Да бисте их променили или креирали, морате да одете у одељак зона. За сваку зону можете поставити праг за испуштање пакета; подржани су СИН, УДП, ИЦМП. Контрола приступа Усергате сервисима је такође конфигурисана, а заштита од лажирања је омогућена.
Након конфигурисања интерфејса, потребно је да конфигуришете подразумевану руту у одељку „Гатеваис“. Оне. Да бисте повезали УсерГате на Интернет, морате навести ИП адресу једног или више мрежних пролаза. Ако користите неколико провајдера за повезивање на Интернет, морате навести неколико мрежних пролаза. Конфигурација мрежног пролаза је јединствена за сваки чвор кластера. Ако су наведена два или више мрежних пролаза, могуће су 2 опције:
-
Балансирање саобраћаја између капија.
-
Главни пролаз са преласком на резервни.
Статус мрежног пролаза (доступан - зелено, недоступан - црвен) се одређује на следећи начин:
-
Провера мреже је онемогућена – мрежни пролаз се сматра приступачним ако УсерГате може да добије своју МАЦ адресу помоћу АРП захтева. Не постоји провера приступа Интернету преко овог гејтвеја. Ако се МАЦ адреса мрежног пролаза не може утврдити, мрежни пролаз се сматра недоступним.
-
Провера мреже је омогућена - мрежни пролаз се сматра приступачним ако:
-
УсерГате може да добије своју МАЦ адресу користећи АРП захтев.
-
Провера приступа Интернету преко овог гејтвеја је успешно завршена.
У супротном, мрежни пролаз се сматра недоступним.
У одељку „ДНС“ потребно је да додате ДНС сервере које ће УсерГате користити. Ова поставка је наведена у области Системски ДНС сервери. Испод су подешавања за управљање ДНС захтевима корисника. УсерГате вам омогућава да користите ДНС проки. ДНС проки услуга вам омогућава да пресретате ДНС захтеве корисника и мењате их у зависности од потреба администратора. ДНС проки правила се могу користити за одређивање ДНС сервера на које се прослеђују захтеви за одређене домене. Поред тога, користећи ДНС проки, можете поставити статичке записе типа хоста (А запис).
У одељку „НАТ и рутирање“ потребно је да креирате неопходна НАТ правила. За приступ Интернету корисника Трустед мреже, НАТ правило је већ креирано - „Поуздано->Непоуздано“, остаје само да га омогућите. Правила се примењују од врха до дна редоследом којим су наведена у конзоли. Увек се извршава само прво правило за које се услови наведени у правилу подударају. Да би се правило покренуло, сви услови наведени у параметрима правила морају се подударати. УсерГате препоручује креирање општих НАТ правила, на пример, НАТ правила са локалне мреже (обично поуздана зона) на Интернет (обично непоуздана зона) и ограничавање приступа корисницима, услугама и апликацијама помоћу правила заштитног зида.
Такође је могуће креирати ДНАТ правила, прослеђивање портова, рутирање засновано на политикама, мапирање мреже.
Након тога, у одељку „Заштитни зид“ морате да креирате правила заштитног зида. За неограничен приступ Интернету за кориснике поуздане мреже, правило заштитног зида је такође већ креирано - „Интернет за поуздане“ и мора бити омогућено. Користећи правила заштитног зида, администратор може дозволити или одбити било коју врсту транзитног мрежног саобраћаја који пролази кроз УсерГате. Услови правила могу укључивати зоне и изворне/одредишне ИП адресе, кориснике и групе, услуге и апликације. Правила се примењују на исти начин као у одељку „НАТ и рутирање“, тј. одозго према доле. Ако правила нису креирана, онда је забрањен било какав транзитни саобраћај кроз УсерГате.
4. Закључак
Овим је чланак завршен. Инсталирали смо УсерГате заштитни зид на виртуелној машини и направили минимална неопходна подешавања да би Интернет радио на поузданој мрежи. Даљу конфигурацију ћемо размотрити у следећим чланцима.
Пратите новости на нашим каналима (, , , )!
Извор: ввв.хабр.цом