В данном разделе рассматривается пример настройки подключения к провайдеру по BGP при использовании кластера Актив-Пассив.
UserGate поддерживает настройку кластера отказоустойчивости для обеспечения бесперебойной работы сети. Кластер отказоустойчивости может работать в двух режимах Актив-Актив и Актив-Пассив. Оба режима поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
В данной схеме, устройства UserGate настроены в режиме отказоустойчивого кластера по схеме Актив-Пассив. В данном режиме один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбраны сетевые интерфейсы, которым администратор назначил виртуальные IP-адреса. Между этими интерфейсами происходит обмен сообщениями - VRRP-объявления, с помощью которых узлы обмениваются информацией о своём состоянии.
При переходе роли мастер-узла на резервный сервер происходит перенос всех виртуальных IP-адресов всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:
-
Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, главный узел выключен или отсутствует сетевая доступность узлов.
-
На узле настроена проверка доступа в Интернет, и доступ в Интернет отсутствует через все имеющиеся шлюзы.
-
Сбой в работе ПО UserGate.
Подробнее о работе кластера читайте в UserGate 6. Руководство администратора.
Принципиальная схема сети будет выглядеть следующим образом:
Как видно, схема содержит два устройств UserGate, подключённых к коммутатору через интерфейс port2; интерфейсы port1 используются для создания кластера; к интерфейсам port3 подключена локальная сеть (LAN). Для интерфейсов port2 и port3 использованы виртуальные интерфейсы, полученные по протоколу VRRP.
Настройка UserGate.
Считается, что кластер в режиме Актив-Пассив уже настроен; в данном примере рассмотрена настройка BGP.
BGP (Border Gateway Protocol) - динамический протокол маршрутизации, относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP - External Gateway Protocol). На текущий момент является основным протоколом динамической маршрутизации в интернете. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протоколы внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляет исходя из правил, принятых в сети (подробнее о BGP читайте в UserGate 6. Руководство администратора).
-
Перейдите в раздел Сеть --> Виртуальные маршрутизаторы нажмите Добавить и выберите BGP. Далее задайте параметры пиринга. Во вкладке BGP-маршрутизатор:
-
Чекбокс Включено.
-
Идентификатор маршрутизатора: 10.10.10.1
-
Номер автономной системы (AS): 65001
-
Во вкладке Сети укажите IP-адрес белой подсети.
Во вкладке Routemaps нажмите Добавить и укажите следующие параметры:
-
Название.
-
Описание (опционально).
-
Действие: Разрешить.
-
Сравнивать по: IP.
-
Установить next hop: 10.10.10.5 (виртуальный IP-адрес в сторону провайдера).
Далее в свойствах routemap перейдите во вкладку IP-адреса и укажите IP-адрес белой подсети.
Остальные параметры можно оставить без изменений. Данная настройка необходима для передачи провайдеру информации об узле (мастер-узел), на который необходимо отправлять пакеты для нашей сети.
Сохраните настройки routemap и перейдите во вкладку BGP-соседи свойств виртуального маршрутизатора. Нажмите Добавить и во вкладке Общие укажите необходимые данные:
-
Чекбокс Включено.
-
Host: 10.10.10.254 (необходимо указать IP-адрес интерфейса оборудования провайдера).
-
Удалённая ASN: номер AS провайдера.
Далее перейдите во вкладку Routemaps и отметьте чекбокс out созданного ранее routemap. Сохраните настройки BGP-маршрутизатора.
-
Перейдите в раздел Сеть --> Зоны. В свойствах зоны интерфейса port2 во вкладке Контроль доступа отметьте чекбокс BGP.
Далее, аналогично, необходимо настроить второе устройство UserGate. После настройки UserGate со стороны маршрутизатора провайдера можно просмотреть краткую информацию о BGP и таблицу маршрутизации с использованием следующих команд:
Router#sh bgp summ
<вывод пропущен....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.10.10.1 4 65001 29 32 3 0 0 00:25:27 1
10.10.10.2 4 65001 29 33 3 0 0 00:25:29 1
Router#sh ip ro bgp
<вывод пропущен....>
<ваша белая подсеть>/28 is subnetted, 1 subnets
B <ваша белая подсеть> [20/10] via 10.10.10.5, 00:26:04
Адрес 10.10.10.5 является виртуальным и всегда находится на узле кластера, назначенном мастером.
Примечание
Т.к. маршрутизатор провайдера видит маршрут только до мастер-узла, другие узлы кластера UserGate не будут иметь выхода в сеть Интернет. Доступ в Интернет необходим на всех узлах UserGate для периодической проверки лицензий и скачивания различных обновлений. Далее представлены 2 варианта сетевых настроек, которые с помощью которых можно настроить доступ в Интернет на узлах кластера.
Первый вариант предполагает использование мастер-узла (master) для проксирования доступа в Интернет для других узлов кластера (slave).
Примечание
Сетевые настройки являются уникальными для каждого узла кластера и не синхронизируются, т.е. каждый узел кластера настраивается индивидуально.
Для настройки перейдите в раздел Сеть --> Шлюзы и добавьте второй шлюз с IP-адресом кластерного интерфейса соседнего узла (т.е. на узле А добавьте адрес узла В; на узле В - адрес узла А). Далее необходимо включить Проверка сети (для этого необходимо нажать на одноимённую кнопку). В открывшемся окне:
-
Отметьте чекбокс Включено.
-
Укажите проверочный хост в Интернете (узлы кластера будут проверять доступность хоста, посылая ICMP-пакеты).
При такой настройке узел кластера (slave) будет производить проверку доступности тестового адреса в Интернете. Т.к. напрямую ответы от удалённого хоста доходить до узла не будут, узел переключит шлюз по умолчанию на следующий указанный в списке шлюз, т.е. на адрес кластерного интерфейса мастер-узла. Так узел сможет проверять лицензию и наличие доступных обновлений. Также для работы такой схемы необходима корректная настройка правил межсетевого экрана - мастер-узел не должен блокировать трафик от другого узла кластера.
Второй вариант позволяет работать с кластерами, содержащими более двух узлов, но требует несколько адресов в стыковочной сети и белых адресов. В данном способе будут опубликованы BGP-маршруты на маршрутизаторы провайдера, специфичные для всех узлов кластера. Т.е. удаленному маршрутизатору будут указаны пути до всех устройств кластера напрямую и, дополнительно, путь для виртуального адреса, который всегда будет находиться на мастер-узле и на который будет возвращаться ответный трафик пользователей, а также который будет использоваться в случае публикации сервисов.
Таким образом, трафик, сгенерированный на самих устройствах, будет маршрутизироваться обратно на эти устройства, а трафик, сгенерированный в пользовательском сегменте и проходящий через кластер, будет маршрутизироваться на виртуальный IP-адрес, который всегда находится на мастер-узле.
Необходимо настроить правила NAT и соответствующие им BGP routemaps. Ниже представлена таблица правил NAT серых адресов в белые.
Зона источника |
Серый IP-адрес источника |
Зона назначения |
Белый IP-адрес |
---|---|---|---|
Trusted |
Any |
Untrusted |
WhiteIP 1 |
Any |
10.10.10.1 |
Untrusted |
WhiteIP 2 |
Any |
10.10.10.2 |
Untrusted |
WhiteIP 3 |
Для настройки правил NAT необходимо перейти в раздел Политики сети --> NAT и маршрутизация. Правила NAT настроены таким образом, что если трафик сгенерирован в условной зоне Trusted (т.е. пользовательский трафик), то локальные адреса преобразуются в виртуальный белый IP-адрес; если зона источника трафика неизвестна (Unknown) и IP-адрес источника трафика равен IP-адресу интерфейса UserGate, то адрес будет преобразован в один из белых IP-адресов согласно таблице выше.
Примечание
Порядок правил NAT в списке важен, т.к. исполнение правил происходит сверху вниз и срабатывает первое правило, удовлетворяющее всем заданным условиям.
Указать зону Unknown невозможно, поэтому для срабатывания правил не нужно указывать зону (Any).
Для создания правила NAT, применяемого к пользовательскому трафику, необходимо во вкладке Общие указать:
-
Чекбокс Включено.
-
Название (для примера: NAT for users traffic).
-
Описание (опционально).
-
Тип: NAT.
-
SNAT IP (внешний адрес): белый IP-адрес.
Во вкладке Источник:
-
Зона источника: Trusted.
Во вкладке Назначение:
-
Зона назначения: Untrusted.
Настройка правила NAT в случае, если зона источника трафика неизвестна (Unknown) и IP-адрес источника трафика равен IP-адресу интерфейса UserGate. Во вкладке Общие укажите:
-
Чекбокс Включено.
-
Название (для примера: origin UserGate1).
-
Описание (опционально).
-
Тип: NAT.
-
SNAT IP (внешний адрес): белый IP-адрес.
Во вкладке Источник:
-
Адрес источника: список с IP-адресом интерфейса UserGate (список IP-адресов может быть создан в разделе Библиотеки --> IP-адреса или в свойствах правил нажатием на Создать и добавить новый объект).
Во вкладке Назначение:
-
Зона назначения: Untrusted.
Далее необходимо опубликовать отдельные IP-адреса.
Перейдите в раздел Сеть --> Виртуальные маршрутизаторы и настройте BGP-маршрутизатор (настройка аналогична представленной выше).
Во вкладке Сети свойств виртуального маршрутизатора укажите белые IP-адреса (WhiteIP 1, WhiteIP 2, WhiteIP 3).
Во вкладке Routemaps укажите следующие карты
Далее включите созданные карты в настройках BGP-соседей, активировав чекбокс out.
После настройки UserGate со стороны маршрутизатора провайдера можно просмотреть BGP-маршруты:
Router#sh ip ro bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
<вывод пропущен....>
Gateway of last resort is 192.168.2.1 to network 0.0.0.0
<ваша белая подсеть>/32 is subnetted, 3 subnets
B White ip.2 [20/10] via 10.10.10.1, 00:10:47
B White ip.3 [20/10] via 10.10.10.2, 00:10:47
B White ip.1 [20/10] via 10.10.10.5, 00:10:47
В результате настроек трафик с NAT IP-адреса, используемого для пользовательского трафика будет отправляться на виртуальный IP-адрес 10.10.10.2.