В данном разделе представлены результаты совместной работы брокера сетевых пакетов DS Integrity-100NG и межсетевых экранов UserGate D500.
Для имитации работы сети и анализа входящего трафика на предмет модификаций и потерь использовался генератор трафика Spirent N12U.
Далее будет рассмотрена настройка оборудования и проверка балансировки трафика на межсетевые экраны UserGate с помощью брокеров сетевых пакетов DS Integrity. Для тестирования использовался стенд, состоящий из:
-
Брокер сетевых пакетов DS Integrity-100NG – 1 шт.
-
Межсетевой экран UserGate D500 – 3 шт.
-
Генератор трафика Spirent N12U – 1 шт.
Настройка DS Integrity-100NG.
-
Настроить группы входных и выходных портов:
-
Определить класс трафика для групп входных портов:
-
Настроить балансировку и агрегирование трафика:
-
с входного порта 1 настроить балансировку на выходные порты 3, 5, 7;
-
с входного порта 2 настроить балансировку трафика на выходные порты 4, 6, 8;
-
с входных портов 3, 5, 7 агрегировать трафик на выходной порт 1;
-
с входных портов 4, 6, 8 агрегировать трафик на выходной порт 2.
-
-
Настроить подмену МАС-адреса назначения на соответствующий МАС-адрес интерфейса устройства UserGate D500 для всех портов, подключённых к UserGate.
-
С помощью фильтров настроить зеркалирование пакетов протокола ARP с входного порта 1 на выходные порты 3, 5, 7 (т.е. с группы входных портов 1 на группу выходных портов 33) и с входного порта 2 на выходные порты 4, 6, 8 (т.е. с группы входных портов 2 на группу выходных портов 34).
Настройка UserGate D500.
Подробно о настройке межсетевых экранов UserGate читайте в UserGate 6. Руководство администратора.
-
Устройства UserGate D500 объединить в кластер конфигурации.
-
На интерфейсах, подключённых к брокеру сетевых пакетов DS Integrity-100NG, назначить одинаковые IP-адреса, которые будут использоваться в качестве шлюзов на подключаемом оборудовании.
После подачи трафик через брокер сетевых пакетов DS Integrity-100NG должен поступать на межсетевые экраны UserGate D500 и возвращаться обратно на Spirent N12U после прохождения через устройства UserGate. При этом объёмы трафика, отправленного и принятого после прохождения через устройства UserGate, при условии отсутствия фильтрации, должны совпадать.