Работа с виртуальными таблицами маршрутизации (VRF)

Развернуть всё | Свернуть всё

Kaspersky SD-WAN поддерживает технологию Virtual Routing and Forwarding (VRF) для создания виртуальных таблиц маршрутизации на устройствах CPE. Вы можете создать не более 100 виртуальных таблиц маршрутизации.

При создании виртуальной таблицы маршрутизации вам нужно выбрать сетевые интерфейсы, которые хотите в нее добавить. Один сетевой интерфейс невозможно добавить в несколько виртуальных таблиц маршрутизации. Сетевые интерфейсы для подключения устройства CPE к контроллеру и оркестратору автоматически добавляются в виртуальную таблицу маршрутизации по умолчанию, и вы не можете добавить их в другие виртуальные таблицы маршрутизации.

Если сетевые интерфейсы добавлены в разные виртуальные таблицы маршрутизации, подключенные к этим сетевым интерфейсам сети не имеют доступа друг к другу. При этом сетевым интерфейсам можно назначить IP-адреса из одинаковых или пересекающихся подсетей.

Когда вы создаете виртуальную таблицу маршрутизации, на устройстве CPE автоматически создается системный сетевой интерфейс, соответствующий этой виртуальной таблице маршрутизации. Системный сетевой интерфейс используется для передачи трафика между сетевыми интерфейсами в виртуальной таблице маршрутизации. Для работы системного сетевого интерфейса вам нужно создать для него запись в веб-интерфейсе оркестратора.

Если сетевым интерфейсам в виртуальной таблице маршрутизации не назначены зоны межсетевого экрана, вам нужно убедиться, что по умолчанию межсетевой экран устройства CPE принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями. Вы можете указать действия по умолчанию при настройке основных параметров межсетевого экрана.

Если сетевым интерфейсам в виртуальной таблице маршрутизации назначены зоны межсетевого экрана, и по умолчанию межсетевой экран устройства CPE не принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями, вам нужно назначить системному сетевому интерфейсу зону межсетевого экрана. Назначенная зона межсетевого экрана также должна быть назначена одному из сетевых интерфейсов в виртуальной таблице маршрутизации.

Вы можете добавить в виртуальные таблицы маршрутизации BGP-маршруты и статические маршруты устройства CPE. Для добавления BGP-маршрутов в виртуальную таблицу маршрутизации вам нужно указать эту виртуальную таблицу маршрутизации при настройке основных параметров BGP. Для добавления статического маршрута в виртуальную таблицу маршрутизации вам нужно указать эту виртуальную таблицу маршрутизации при добавлении статического маршрута.

Виртуальные таблицы маршрутизации можно использовать в следующих сценариях:

• Сегментация сети с помощью виртуальных таблиц маршрутизации.

  Вы можете создать виртуальные таблицы маршрутизации, чтобы сегментировать сеть. На рисунке ниже сеть Network 1 построена между сетевым интерфейсом overlay1 и пользовательским персональными компьютерами (PC), а Network 2 – между сетевым интерфейсом overlay2 и банкоматами (ATM). Оба сетевых интерфейса находятся в виртуальной таблице маршрутизации по умолчанию (Default VRF), поэтому сети имеют доступ друг к другу и являются небезопасными.

  

  Подключенные к разным сетям сетевые интерфейсы в виртуальной таблице маршрутизации по умолчанию

  Для изоляции сетей Network 1 и Network 2 сетевые интерфейсы overlay1 и overlay2 необходимо добавить в разные виртуальные таблицы маршрутизации, в результате чего будут созданы два сегмента (см. рисунок ниже).

  

  Подключенные к разным сетям сетевые интерфейсы в отдельных виртуальных таблицах маршрутизации

• Передача маршрута 0.0.0.0/0 по протоколу BGP.

  Вы можете создать отдельную виртуальную таблицу маршрутизации, чтобы передавать между устройствами маршрут 0.0.0.0/0 по протоколу BGP. На рисунке ниже представлено устройство CPE с ролью шлюза SD-WAN (GW) и стандартное устройство. Все устройства CPE добавлены в виртуальную таблицу маршрутизации по умолчанию.

  Если шлюз SD-WAN передает маршрут 0.0.0.0/0 по протоколу BGP с сетевого интерфейса overlay 10.10.10.254/24 на overlay 10.10.10.1/24, этот маршрут невозможно использовать. Это происходит потому, что в виртуальной таблице маршрутизации по умолчанию уже есть маршруты 0.0.0.0/0 с более низкой административной дистанцией для подключения к контроллеру и оркестратору.

  

  Передача маршрута 0.0.0.0/0 на устройство CPE с виртуальной таблицей маршрутизации по умолчанию

  Для передачи маршрута 0.0.0.0/0 по протоколу BGP через сетевой интерфейс overlay 10.10.10.254/24 на overlay 10.10.10.1/24 необходимо создать отдельную таблицу для сетевого интерфейса overlay 10.10.10.1/24 и добавить в нее BGP-маршруты (см. рисунок ниже).

  

  Передача маршрута 0.0.0.0/0 на устройство CPE с отдельной виртуальной таблицей маршрутизации для BGP-маршрутов

Таблица виртуальных таблиц маршрутизации отображается в шаблоне CPE и на устройстве CPE:

• Для отображения таблицы виртуальных таблиц маршрутизации в шаблоне CPE вам нужно в меню перейти в раздел SD-WAN → Шаблоны CPE, нажать на шаблон CPE и выбрать вкладку VRF.
• Для отображения таблицы виртуальных таблиц маршрутизации на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку VRF.

Информация о виртуальных таблицах маршрутизации отображается в следующих столбцах таблицы:

• Имя – имя виртуальной таблицы маршрутизации.
• Таблица – идентификатор виртуальной таблицы маршрутизации.
• Интерфейсы – сетевые интерфейсы, которые были добавлены в виртуальную таблицу маршрутизации.

Создание виртуальной таблицы маршрутизации

Вы можете создать виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве CPE. Виртуальная таблица маршрутизации, созданная в шаблоне CPE, автоматически создается на всех устройствах CPE, которые используют этот шаблон CPE.

Чтобы создать виртуальную таблицу маршрутизации:

1. Перейдите к созданию виртуальной таблицы маршрутизации одним из следующих способов:
   • Если вы хотите создать виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
   • Если вы хотите создать виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку VRF.

   Отобразится таблица виртуальных таблиц маршрутизации.

2. Нажмите на кнопку + VRF.
3. В открывшемся окне в поле Имя введите имя виртуальной таблицы маршрутизации.
4. В поле Таблица введите идентификатор виртуальной таблицы маршрутизации. Диапазон значений: от 100 до 199.
5. В раскрывающемся списке Интерфейсы выберите созданный сетевой интерфейс, который вы хотите добавить в виртуальную таблицу маршрутизации. Вы не можете добавить один сетевой интерфейс в несколько виртуальных таблиц маршрутизации.

   Сетевой интерфейс будет добавлен и отобразится в нижней части окна. Вы можете добавить несколько сетевых интерфейсов и удалить сетевой интерфейс. Для удаления сетевого интерфейса нажмите рядом с ним на кнопку Удалить.

   Если вы добавили в виртуальную таблицу маршрутизации сетевой интерфейс с именем в формате overlay.<номер>, например overlay.100, вам нужно установить флажки Включать автоматически и Назначать IP, маршрут и шлюз при создании или изменении сетевого интерфейса.

6. Нажмите на кнопку + Создать.

   Виртуальная таблица маршрутизации будет создана и отобразится в таблице. На устройстве CPE будет создан системный сетевой интерфейс, соответствующий созданной виртуальной таблице маршрутизации.

7. Создайте запись в веб-интерфейсе оркестратора для системного сетевого интерфейса:
   1. Выберите вкладку Параметры сети.

      Отобразится таблица сетевых интерфейсов.

   2. Нажмите на кнопку + Сетевой интерфейс.
   3. В открывшемся окне в поле Псевдоним введите имя виртуальной таблицы маршрутизации, которое вы указали на шаге 3 этой инструкции. Максимальная длина: 15 символов.
   4. Если сетевым интерфейсам в виртуальной таблице маршрутизации назначены зоны межсетевого экрана, и по умолчанию межсетевой экран устройства CPE не принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями, в раскрывающемся списке Зона выберите зону межсетевого экрана. Выбранная зона межсетевого экрана также должна быть назначена одному из сетевых интерфейсов в виртуальной таблице маршрутизации.
   5. В поле Имя интерфейса введите имя виртуальной таблицы маршрутизации, которое вы указали на шаге 3 этой инструкции. Максимальная длина: 256 символов.
8. Нажмите на кнопку Создать.

   Запись для системного сетевого интерфейса будет создана и отобразится в таблице.

9. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Изменение виртуальной таблицы маршрутизации

Вы можете изменить виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве. Виртуальная таблица маршрутизации, измененная в шаблоне CPE, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон CPE. Вы не можете изменить на устройстве CPE виртуальную таблицу маршрутизации, унаследованную из шаблона CPE.

Чтобы изменить виртуальную таблицу маршрутизации:

1. Перейдите к изменению виртуальной таблицы маршрутизации одним из следующих способов:
   • Если вы хотите изменить виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
   • Если вы хотите изменить виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку VRF.

   Отобразится таблица виртуальных таблиц маршрутизации.

2. Нажмите на кнопку Изменить рядом с виртуальной таблицей маршрутизации, которую вы хотите изменить.
3. В открывшемся окне при необходимости измените имя и/или идентификатор виртуальной таблицы маршрутизации, а также добавьте или удалите сетевые интерфейсы.
4. Нажмите на кнопку Сохранить.

   Виртуальная таблица маршрутизации будет изменена и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Удаление виртуальной таблицы маршрутизации

Вы можете удалить виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве CPE. Виртуальная таблица маршрутизации, удаленная в шаблоне CPE, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон CPE. Вы не можете удалить на устройстве CPE виртуальную таблицу маршрутизации, унаследованную из шаблона CPE.

Удаленные виртуальные таблицы маршрутизации невозможно восстановить.

Чтобы удалить виртуальную таблицу маршрутизации:

1. Перейдите к удалению виртуальной таблицы маршрутизации одним из следующих способов:
   • Если вы хотите удалить виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
   • Если вы хотите удалить виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку VRF.

   Отобразится таблица виртуальных таблиц маршрутизации.

2. Нажмите на кнопку Удалить рядом с виртуальной таблицей маршрутизации, которую вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Виртуальная таблица маршрутизации будет удалена и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.