14.3. Балансировка трафика на межсетевые экраны UserGate с помощью брокера сетевых пакетов DS Integrity

В данном разделе представлены результаты совместной работы брокера сетевых пакетов DS Integrity-100NG и межсетевых экранов UserGate D500.

Для имитации работы сети и анализа входящего трафика на предмет модификаций и потерь использовался генератор трафика Spirent N12U.

Далее будет рассмотрена настройка оборудования и проверка балансировки трафика на межсетевые экраны UserGate с помощью брокеров сетевых пакетов DS Integrity. Для тестирования использовался стенд, состоящий из:

  • Брокер сетевых пакетов DS Integrity-100NG – 1 шт.

  • Межсетевой экран UserGate D500 – 3 шт.

  • Генератор трафика Spirent N12U – 1 шт.

image407

Настройка DS Integrity-100NG.

  1. Настроить группы входных и выходных портов:

image408

image409

  1. Определить класс трафика для групп входных портов:

image410

  1. Настроить балансировку и агрегирование трафика:

    • с входного порта 1 настроить балансировку на выходные порты 3, 5, 7;

    • с входного порта 2 настроить балансировку трафика на выходные порты 4, 6, 8;

    • с входных портов 3, 5, 7 агрегировать трафик на выходной порт 1;

    • с входных портов 4, 6, 8 агрегировать трафик на выходной порт 2.

image411

  1. Настроить подмену МАС-адреса назначения на соответствующий МАС-адрес интерфейса устройства UserGate D500 для всех портов, подключённых к UserGate.

image412

image413

  1. С помощью фильтров настроить зеркалирование пакетов протокола ARP с входного порта 1 на выходные порты 3, 5, 7 (т.е. с группы входных портов 1 на группу выходных портов 33) и с входного порта 2 на выходные порты 4, 6, 8 (т.е. с группы входных портов 2 на группу выходных портов 34).

image414

Настройка UserGate D500.

Подробно о настройке межсетевых экранов UserGate читайте в UserGate 6. Руководство администратора.

  1. Устройства UserGate D500 объединить в кластер конфигурации.

  2. На интерфейсах, подключённых к брокеру сетевых пакетов DS Integrity-100NG, назначить одинаковые IP-адреса, которые будут использоваться в качестве шлюзов на подключаемом оборудовании.

После подачи трафик через брокер сетевых пакетов DS Integrity-100NG должен поступать на межсетевые экраны UserGate D500 и возвращаться обратно на Spirent N12U после прохождения через устройства UserGate. При этом объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать.