Kaspersky SD-WAN
- Справка Kaspersky SD-WAN
- О Kaspersky SD-WAN
- Архитектура решения
- Развертывание Kaspersky SD-WAN
- Резервирование компонентов решения
- Об архиве установки
- О режимах выполнения действий attended, unattended и partially attended
- Подготовка устройства администратора
- Работа с паролями
- Настройка конфигурационного файла
- Изменение графических элементов веб-интерфейса оркестратора
- Замена вышедшего из строя узла контроллера
- Обновление Kaspersky SD-WAN
- Удаление Kaspersky SD-WAN
- Вход и выход из веб-интерфейса оркестратора
- Лицензирование Kaspersky SD-WAN
- Интерфейс решения
- Переход к API оркестратора
- Управление инфраструктурой Kaspersky SD-WAN
- Работа с доменами
- Работа с центрами обработки данных
- Работа с подсетями управления
- Работа с контроллерами
- Работа с VIM
- Управление пользователями и их правами доступа
- Работа с правами доступа
- Работа с LDAP-подключениями
- Работа с пользователями
- Работа с группами LDAP-пользователей
- Включение и выключение двухфакторной аутентификации для всех пользователей
- Работа с запросами на подтверждение
- Ограничение продолжительности пользовательского сеанса
- Просмотр и завершение активных пользовательских сеансов
- Мультитенантность
- Управление устройствами CPE
- О взаимодействии между устройством CPE и оркестратором
- О взаимодействии между устройством CPE и контроллером
- Учетные данные по умолчанию устройств CPE модели KESR
- Сценарий: автоматическая регистрация устройства CPE (ZTP)
- Сценарий: развертывание на платформе виртуализации VMware и автоматическая регистрация (ZTP) устройства vCPE
- Сценарий: повторная регистрация устройства CPE
- Работа с шаблонами CPE
- Работа с устройствами CPE
- Добавление устройства CPE
- Генерация веб-адреса с базовыми параметрами устройства CPE
- Регистрация устройства CPE вручную
- Отмена регистрации устройства CPE
- Указание адреса устройства CPE
- Включение и выключение устройства CPE
- Перезагрузка устройства CPE
- Выключение питания устройства CPE
- Подключение к консоли устройства CPE
- Просмотр пароля устройства CPE
- Экспорт параметров подключения к оркестратору и контроллеру, и интерфейсов SD-WAN из устройства CPE
- Экспорт сетевых интерфейсов из устройства CPE
- Изменение идентификатора DPID устройства CPE
- Удаление устройств CPE
- Двухфакторная аутентификация устройства CPE
- Работа с сертификатами
- Автоматическое удаление и выключение устройств CPE
- Группировка устройств CPE с помощью тегов
- Настройка журналов на устройствах CPE
- Указание NTP-серверов на устройствах CPE
- Работа с модемами
- Обновление прошивки
- Обновление прошивки на устройстве CPE вручную
- Загрузка прошивки в веб-интерфейс оркестратора
- Запланированное обновление прошивки на выбранных устройствах CPE
- Запланированное обновление прошивки на устройствах CPE с указанными тегами
- Восстановление прошивки устройства CPE модели KESR-M1
- Восстановление прошивки устройства CPE модели KESR-M2–5
- Соответствие моделей устройств CPE с версиями прошивок
- Удаление прошивки
- Дополнительная настройка устройств CPE с помощью скриптов
- Работа с сетевыми интерфейсами
- Создание сетевых интерфейсов
- Создание сетевого интерфейса с автоматическим назначением IP-адреса по протоколу DHCP
- Создание сетевого интерфейса со статическим IPv4-адресом
- Создание сетевого интерфейса со статическим IPv6-адресом
- Создание сетевого интерфейса для подключения к LTE-сети
- Создание сетевого интерфейса для подключения к PPPoE-серверу
- Создание сетевого интерфейса без IP-адреса
- Изменение сетевого интерфейса
- Выключение и включение сетевого интерфейса
- Отмена применения параметров сетевых интерфейсов к устройству CPE
- Удаление сетевого интерфейса
- Создание сетевых интерфейсов
- Настройка подключения устройства CPE к оркестратору и контроллеру
- Работа с интерфейсами SD-WAN
- Работа с сервисными интерфейсами
- Работа с группами OpenFlow-портов
- Настройка UNI для подключения устройств CPE к сетевым сервисам
- Добавление статического маршрута
- Фильтрация маршрутов и пакетов трафика
- Обмен маршрутами по протоколу BGP
- Обмен маршрутами по протоколу OSPF
- Обнаружение ошибок маршрутизации с помощью протокола BFD
- Обеспечение высокой доступности с помощью протокола VRRP
- Передача multicast-трафика с помощью протоколов PIM и IGMP
- Работа с виртуальными таблицами маршрутизации (VRF)
- Отслеживание информации о пакетах трафика с помощью протокола NetFlow
- Диагностика устройства CPE
- Выполнение запланированных задач на устройствах CPE
- Диапазоны IP-адресов и подсетей для устройств CPE
- Управление межсетевым экраном
- Работа с зонами межсетевого экрана
- Работа с передачами
- Работа с шаблонами межсетевого экрана
- Настройка основных параметров межсетевого экрана
- Настройка маркировки DPI
- Работа с правилами межсетевого экрана
- Работа с наборами IP
- Работа с DNAT-правилами
- Работа с SNAT-правилами
- Изменение шаблона межсетевого экрана устройства CPE
- Управление сетевыми сервисами и виртуализация сетевых функций
- Работа с шаблонами сетевых сервисов
- Работа с сетевыми сервисами
- Создание сетевого сервиса
- Изменение сетевого сервиса
- Развертывание сетевого сервиса
- Проверка консистентности сетевого сервиса
- Повторное развертывание сетевого сервиса
- Выключение и включение автоматического восстановления сетевого сервиса
- Просмотр журнала работы сетевого сервиса
- Удаление сетевого сервиса
- Сценарий: развертывание виртуальной сетевой функции
- Сценарий: развертывание физической сетевой функции
- Работа с пакетами VNF и PNF
- Указание краткого описания общего сетевого сервиса
- Работа с виртуальными сетевыми функциями
- Выбор варианта развертывания виртуальной сетевой функции
- Настройка внешних точек подключения виртуальной сетевой функции
- Настройка основных параметров виртуальной сетевой функции
- Размещение виртуальной сетевой функции в центре обработки данных и на устройстве uCPE
- Остановка и запуск виртуальной сетевой функции или входящей в ее состав VDU
- Пауза и снятие с паузы виртуальной сетевой функции или входящей в ее состав VDU
- Перевод виртуальной сетевой функции или входящей в ее состав VDU в состояние сна и активное состояние
- Программная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Аппаратная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Повторное развертывание виртуальной сетевой функции или входящей в ее состав VDU
- Автоматическое восстановление виртуальной сетевой функции или входящей в ее состав VDU
- Работа с снимками состояния VDU
- Работа с физическими сетевыми функциями
- Настройка P2P-сервиса
- Настройка P2M-сервиса
- Настройка M2M-сервиса
- Настройка общей сети (OS 2 SHARED)
- Настройка виртуального маршрутизатора (OS vRouter)
- Настройка VLAN
- Настройка VXLAN
- Настройка плоской сети
- Настройка UNI
- Мониторинг компонентов решения
- Указание сервера Zabbix
- Указание сервера Zabbix-прокси
- Настройка мониторинга устройств CPE
- Просмотр результатов мониторинга
- Просмотр проблем
- Просмотр состояния решения и его компонентов
- Просмотр журналов
- Просмотр и удаление сервисных запросов
- Отправка уведомлений об устройствах CPE пользователям
- Выбор уровня детализации журналов Docker-контейнеров
- Мониторинг устройств CPE, VNF и PNF с помощью протокола SNMP
- Мониторинг соединения
- Построение сети SD-WAN между устройствами CPE
- Качество обслуживания (QoS)
- Передача трафика между устройствами CPE и клиентскими устройствами с помощью транспортных сервисов
- Дублирование пакетов трафика
- Сценарий: направление трафика приложения в транспортный сервис
- Работа с транспортными сервисами Point-to-Point (P2P)
- Работа с транспортными сервисами Point-to-Multipoint (P2M)
- Работа с транспортными сервисами Multipoint-to-Multipoint (M2M)
- Работа с транспортными сервисами L3 VPN
- Работа с транспортными сервисами IP multicast
- Работа с транспортными сервисами в шаблоне экземпляра SD-WAN
- Работа с транспортными сервисами в шаблоне CPE
- Зеркалирование и перенаправление трафика между устройствами CPE
- Приложения
- Глоссарий
- Контроллер
- Оркестратор
- Пакет PNF
- Пакет VNF
- Плоскость передачи данных
- Плоскость управления сетью
- Тенант
- Транспортная стратегия
- Шлюз SD-WAN
- Экземпляр SD-WAN
- Customer Premise Equipment (CPE)
- Physical Network Function (PNF)
- Port security
- Software-Defined Networking (SDN)
- Software-Defined Wide Area Network (SD-WAN)
- Universal CPE (uCPE)
- Virtual Deployment Unit (VDU)
- Virtual Infrastructure Manager (VIM)
- Virtual Network Function Manager (VNFM)
- Обращение в Службу технической поддержки
- Информация о стороннем коде
- Уведомления о товарных знаках
Работа с виртуальными таблицами маршрутизации (VRF)
Kaspersky SD-WAN поддерживает технологию Virtual Routing and Forwarding (VRF) для создания виртуальных таблиц маршрутизации на устройствах CPE. Вы можете создать не более 100 виртуальных таблиц маршрутизации.
При создании виртуальной таблицы маршрутизации вам нужно выбрать сетевые интерфейсы, которые хотите в нее добавить. Один сетевой интерфейс невозможно добавить в несколько виртуальных таблиц маршрутизации. Сетевые интерфейсы для подключения устройства CPE к контроллеру и оркестратору автоматически добавляются в виртуальную таблицу маршрутизации по умолчанию, и вы не можете добавить их в другие виртуальные таблицы маршрутизации.
Если сетевые интерфейсы добавлены в разные виртуальные таблицы маршрутизации, подключенные к этим сетевым интерфейсам сети не имеют доступа друг к другу. При этом сетевым интерфейсам можно назначить IP-адреса из одинаковых или пересекающихся подсетей.
Когда вы создаете виртуальную таблицу маршрутизации, на устройстве CPE автоматически создается системный сетевой интерфейс, соответствующий этой виртуальной таблице маршрутизации. Системный сетевой интерфейс используется для передачи трафика между сетевыми интерфейсами в виртуальной таблице маршрутизации. Для работы системного сетевого интерфейса вам нужно создать для него запись в веб-интерфейсе оркестратора.
Если сетевым интерфейсам в виртуальной таблице маршрутизации не назначены зоны межсетевого экрана, вам нужно убедиться, что по умолчанию межсетевой экран устройства CPE принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями. Вы можете указать действия по умолчанию при настройке основных параметров межсетевого экрана.
Если сетевым интерфейсам в виртуальной таблице маршрутизации назначены зоны межсетевого экрана, и по умолчанию межсетевой экран устройства CPE не принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями, вам нужно назначить системному сетевому интерфейсу зону межсетевого экрана. Назначенная зона межсетевого экрана также должна быть назначена одному из сетевых интерфейсов в виртуальной таблице маршрутизации.
Вы можете добавить в виртуальные таблицы маршрутизации BGP-маршруты и статические маршруты устройства CPE. Для добавления BGP-маршрутов в виртуальную таблицу маршрутизации вам нужно указать эту виртуальную таблицу маршрутизации при настройке основных параметров BGP. Для добавления статического маршрута в виртуальную таблицу маршрутизации вам нужно указать эту виртуальную таблицу маршрутизации при добавлении статического маршрута.
Виртуальные таблицы маршрутизации можно использовать в следующих сценариях:
- Сегментация сети с помощью виртуальных таблиц маршрутизации.
Вы можете создать виртуальные таблицы маршрутизации, чтобы сегментировать сеть. На рисунке ниже сеть Network 1 построена между сетевым интерфейсом overlay1 и пользовательским персональными компьютерами (PC), а Network 2 – между сетевым интерфейсом overlay2 и банкоматами (ATM). Оба сетевых интерфейса находятся в виртуальной таблице маршрутизации по умолчанию (Default VRF), поэтому сети имеют доступ друг к другу и являются небезопасными.
Подключенные к разным сетям сетевые интерфейсы в виртуальной таблице маршрутизации по умолчанию
Для изоляции сетей Network 1 и Network 2 сетевые интерфейсы overlay1 и overlay2 необходимо добавить в разные виртуальные таблицы маршрутизации, в результате чего будут созданы два сегмента (см. рисунок ниже).
Подключенные к разным сетям сетевые интерфейсы в отдельных виртуальных таблицах маршрутизации
- Передача маршрута 0.0.0.0/0 по протоколу BGP.
Вы можете создать отдельную виртуальную таблицу маршрутизации, чтобы передавать между устройствами маршрут 0.0.0.0/0 по протоколу BGP. На рисунке ниже представлено устройство CPE с ролью шлюза SD-WAN (GW) и стандартное устройство. Все устройства CPE добавлены в виртуальную таблицу маршрутизации по умолчанию.
Если шлюз SD-WAN передает маршрут 0.0.0.0/0 по протоколу BGP с сетевого интерфейса overlay 10.10.10.254/24 на overlay 10.10.10.1/24, этот маршрут невозможно использовать. Это происходит потому, что в виртуальной таблице маршрутизации по умолчанию уже есть маршруты 0.0.0.0/0 с более низкой административной дистанцией для подключения к контроллеру и оркестратору.
Передача маршрута 0.0.0.0/0 на устройство CPE с виртуальной таблицей маршрутизации по умолчанию
Для передачи маршрута 0.0.0.0/0 по протоколу BGP через сетевой интерфейс overlay 10.10.10.254/24 на overlay 10.10.10.1/24 необходимо создать отдельную таблицу для сетевого интерфейса overlay 10.10.10.1/24 и добавить в нее BGP-маршруты (см. рисунок ниже).
Передача маршрута 0.0.0.0/0 на устройство CPE с отдельной виртуальной таблицей маршрутизации для BGP-маршрутов
Таблица виртуальных таблиц маршрутизации отображается в шаблоне CPE и на устройстве CPE:
- Для отображения таблицы виртуальных таблиц маршрутизации в шаблоне CPE вам нужно в меню перейти в раздел SD-WAN → Шаблоны CPE, нажать на шаблон CPE и выбрать вкладку VRF.
- Для отображения таблицы виртуальных таблиц маршрутизации на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку VRF.
Информация о виртуальных таблицах маршрутизации отображается в следующих столбцах таблицы:
- Имя – имя виртуальной таблицы маршрутизации.
- Таблица – идентификатор виртуальной таблицы маршрутизации.
- Интерфейсы – сетевые интерфейсы, которые были добавлены в виртуальную таблицу маршрутизации.
|
В этом разделе Создание виртуальной таблицы маршрутизации |