Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данной подсети, передает (транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр принадлежит данной подсети, мост ничего не делает.
Интерфейс мост можно использовать в UserGate аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:
Рисунок 4 Использование моста
При создании моста можно указать режим его работы - Layer 2 или Layer 3.
При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила АСУ ТП и Mail security. Контентная фильтрация работает в этом режиме.
При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста. В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate.
Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас мост. Байпас мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:
-
Электропитание ПАК UserGate отключено.
-
Система внутренней диагностики обнаружила проблему в работе ПО UserGate.
Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.
С помощью кнопки Добавить мост администратор может объединить несколько физических интерфейсов в новый тип интерфейса - мост. Необходимо указать следующие параметры:
|
Наименование |
Описание |
|---|---|
|
Включено |
Включает интерфейс мост. |
|
Название |
Название интерфейса. |
|
Имя узла |
Узел кластера UserGate, на котором создать интерфейс мост. |
|
Тип интерфейса |
Указать тип интерфейса - Layer 3 или Layer 2. |
|
Зона |
Зона, к которой принадлежит интерфейс мост. |
|
Профиль Netflow |
Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
|
Интерфейсы моста |
Два интерфейса, которые будут использованы для построения моста. |
|
Интерфейсы байпас моста |
Пара интерфейсов, которые можно использовать для построения байпас моста. Требуется поддержка оборудования ПАК UserGate. |
|
STP (Spanning Tree Protocol) |
Включает использование STP для защиты сети от петель. |
|
Forward delay |
Задержка перед переключением моста в активный режим (Forwarding), в случае если включен STP. |
|
Maximum age |
Время, по истечении которого STP-соединение считается потерянным. |
|
Сеть |
Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. |
|
DHCP-релей |
Настройка работы DHCP-релея на bridge-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов. |