Kaspersky SD-WAN
2.4
Русский

Содержание

Работа с виртуальными таблицами маршрутизации (VRF)

Развернуть всё | Свернуть всё

Kaspersky SD-WAN поддерживает технологию Virtual Routing and Forwarding (VRF) для создания виртуальных таблиц маршрутизации на устройствах CPE. Вы можете создать не более 100 виртуальных таблиц маршрутизации.

При создании виртуальной таблицы маршрутизации вам нужно выбрать сетевые интерфейсы, которые вы хотите в нее добавить. Один сетевой интерфейс невозможно добавить в несколько виртуальных таблиц маршрутизации. Сетевые интерфейсы для подключения устройства CPE к контроллеру и оркестратору автоматически добавляются в виртуальную таблицу маршрутизации по умолчанию, и вы не можете добавить их в другие виртуальные таблицы маршрутизации.

Если сетевые интерфейсы добавлены в разные виртуальные таблицы маршрутизации, подключенные к сетевым интерфейсам сети не имеют доступа друг к другу. При этом сетевым интерфейсам можно назначить IP-адреса из одинаковых или пересекающихся подсетей.

Когда вы создаете виртуальную таблицу маршрутизации, на устройстве CPE автоматически создается системный сетевой интерфейс, соответствующий этой виртуальной таблице маршрутизации. Системный сетевой интерфейс используется для передачи трафика между сетевыми интерфейсами в виртуальной таблице маршрутизации. Для работы системного сетевого интерфейса вам нужно создать для него запись в веб-интерфейсе оркестратора.

При создании виртуальной таблицы маршрутизации вы можете использовать функцию создания blackhole-маршрута для изоляции трафика. В этом случае на устройстве автоматически будет создан blackhole-маршрут 0.0.0.0/0, информация о котором отобразится в разделе Статические маршруты. Без использования blackhole-маршрута трафик может попадать в другие виртуальные таблицы маршрутизации.

Если сетевым интерфейсам в виртуальной таблице маршрутизации не назначены зоны межсетевого экрана, вам нужно убедиться, что по умолчанию межсетевой экран устройства CPE принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями. Вы можете указать действия по умолчанию при настройке основных параметров межсетевого экрана.

Если сетевым интерфейсам в виртуальной таблице маршрутизации назначены зоны межсетевого экрана и по умолчанию межсетевой экран устройства CPE не принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями, вам нужно назначить системному сетевому интерфейсу зону межсетевого экрана. Назначенная зона межсетевого экрана также должна быть назначена одному из сетевых интерфейсов в виртуальной таблице маршрутизации.

Вы можете добавить в виртуальные таблицы маршрутизации BGP-маршруты и статические маршруты устройства CPE. Для добавления BGP-маршрутов в виртуальную таблицу маршрутизации вам нужно указать требуемую виртуальную таблицу маршрутизации при настройке основных параметров BGP. Для добавления статического маршрута в виртуальную таблицу маршрутизации вам нужно указать требуемую виртуальную таблицу маршрутизации при добавлении статического маршрута.

Виртуальные таблицы маршрутизации можно использовать в следующих сценариях:

  • Сегментация сети с помощью виртуальных таблиц маршрутизации.

    Вы можете создать виртуальные таблицы маршрутизации, чтобы сегментировать сеть. На рисунке ниже сеть 1 построена между сетевым интерфейсом overlay1 и пользовательским персональными компьютерами PC, а сеть 2 – между сетевым интерфейсом overlay2 и банкоматами ATM. Оба сетевых интерфейса находятся в виртуальной таблице маршрутизации по умолчанию (VRF по умолчанию), поэтому сети имеют доступ друг к другу и являются небезопасными.

    Сетевые интерфейсы overlay1 и overlay2 добавлены в одну виртуальную таблицу маршрутизации. Сетевой интерфейс overlay1 подключен к пользовательским персональным компьютерам пользователей, а overlay2 – к банкоматам. Сети имеют доступ друг к другу.

    Подключенные к разным сетям сетевые интерфейсы в виртуальной таблице маршрутизации по умолчанию

    Для изоляции сетей 1 и 2 сетевые интерфейсы overlay1 и overlay2 необходимо добавить в разные виртуальные таблицы маршрутизации VRF PC и VRF ATM, в результате чего будут созданы два сегмента (см. рисунок ниже).

    Сетевые интерфейсы overlay1 и overlay2 добавлены в отдельные виртуальные таблицы маршрутизации. Сетевой интерфейс overlay1 подключен к пользовательским персональным компьютерам, а overlay2 – к банкоматам.

    Подключенные к разным сетям сетевые интерфейсы в отдельных виртуальных таблицах маршрутизации

  • Передача маршрута 0.0.0.0/0 по протоколу BGP.

    Вы можете создать отдельную виртуальную таблицу маршрутизации, чтобы передавать между устройствами маршрут 0.0.0.0/0 по протоколу BGP. На рисунке ниже представлено устройство CPE с ролью шлюза SD-WAN и стандартное устройство CPE. Все сетевые интерфейсы устройства CPE добавлены в виртуальную таблицу маршрутизации по умолчанию (VRF по умолчанию).

    Если шлюз SD-WAN передает маршрут 0.0.0.0/0 по протоколу BGP с сетевого интерфейса overlay 10.10.10.254/24 на overlay 10.10.10.1/24, маршрут невозможно использовать. Это происходит потому, что в виртуальной таблице маршрутизации по умолчанию уже есть маршруты 0.0.0.0/0 с более низкой административной дистанцией для подключения к контроллеру и оркестратору.

    Сетевой интерфейс устройства CPE с ролью шлюз подключен к сетевому интерфейсу стандартного устройства. При этом все сетевые интерфейсы стандартного устройства добавлены в виртуальную таблицу по умолчанию.

    Передача маршрута 0.0.0.0/0 на устройство CPE с виртуальной таблицей маршрутизации по умолчанию

    Для передачи маршрута 0.0.0.0/0 по протоколу BGP через сетевой интерфейс overlay 10.10.10.254/24 на overlay 10.10.10.1/24 необходимо создать отдельную виртуальную таблицу маршрутизации VRF overlay для сетевого интерфейса overlay 10.10.10.1/24 и добавить в нее BGP-маршруты (см. рисунок ниже).

    Сетевой интерфейс устройства CPE с ролью шлюз подключен к сетевому интерфейсу стандартного устройства. При этом сетевой интерфейс стаднартного устройства CPE для обмена BGP-маршрутами добавлен в отдельную виртуальную таблицу маршрутизации.

    Передача маршрута 0.0.0.0/0 на устройство CPE с отдельной виртуальной таблицей маршрутизации для BGP-маршрутов

Вы можете посмотреть таблицу виртуальных таблиц маршрутизации в шаблоне CPE и на устройстве CPE:

  • Для просмотра таблицы виртуальных таблиц маршрутизации в шаблоне CPE вам нужно в меню перейти в раздел SD-WAN → Шаблоны CPE, нажать на шаблон CPE и выбрать вкладку VRF.
  • Для просмотра таблицы виртуальных таблиц маршрутизации на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → CPE, нажать на устройство CPE и выбрать вкладку VRF.

Информация о виртуальных таблицах маршрутизации отображается в следующих столбцах таблицы:

  • Имя – имя виртуальной таблицы маршрутизации.
  • Унаследовано – виртуальная таблица маршрутизации унаследована из шаблона CPE:
    • Да.
    • Нет.

    Этот столбец отображается только на устройстве CPE.

  • Таблица – идентификатор виртуальной таблицы маршрутизации.
  • Интерфейсы – сетевые интерфейсы, добавленные в виртуальную таблицу маршрутизации.

В этом разделе

Настройка параметров ядра, связанных с виртуальными таблицами маршрутизации

Создание виртуальной таблицы маршрутизации

Изменение виртуальной таблицы маршрутизации

Удаление виртуальной таблицы маршрутизации
В начало
[Topic 269445]

Настройка параметров ядра, связанных с виртуальными таблицами маршрутизации

Вы можете настроить параметры ядра, связанные с виртуальными таблицами маршрутизации, в шаблоне CPE или на устройстве CPE. Это необходимо для обеспечения правильной работы сетевых сервисов в созданных вами виртуальных таблицах маршрутизации. Параметры ядра, указанные в шаблоне CPE, автоматически распространяются на все устройства CPE, которые используют шаблон CPE.

Чтобы настроить параметры ядра:

  1. Перейдите к настройке параметров ядра одним из следующих способов:
    • Если вы хотите настроить параметры ядра в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF → Основные параметры.
    • Если вы хотите настроить параметры ядра на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку VRF → Основные параметры и установите флажок Переопределить.

    Отобразятся параметры ядра.

  2. При необходимости выполните одно из следующих действий:
    • Если вы хотите использовать сетевые сервисы UDP в виртуальных таблицах маршрутизации, установите флажок Использовать сетевые сервисы UDP во всех VRF. Этот флажок снят по умолчанию.
    • Если вы хотите использовать сетевые сервисы TCP в виртуальных таблицах маршрутизации, установите флажок Использовать сетевые сервисы TCP во всех VRF. Этот флажок снят по умолчанию.
    • Если вы не хотите использовать RAW-сокеты в виртуальных таблицах маршрутизации, снимите флажок Использовать RAW-сокеты во всех VRF. Этот флажок установлен по умолчанию.
  3. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 292020]

Создание виртуальной таблицы маршрутизации

Вы можете создать виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве CPE. Виртуальная таблица маршрутизации, созданная в шаблоне CPE, автоматически создается на всех устройствах CPE, которые используют шаблон CPE.

Чтобы создать виртуальную таблицу маршрутизации:

  1. Перейдите к созданию виртуальной таблицы маршрутизации одним из следующих способов:
    • Если вы хотите создать виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
    • Если вы хотите создать виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите вкладку VRF.

    По умолчанию выбрана вкладка VRF, на которой отображается таблица виртуальных таблиц маршрутизации.

  2. Нажмите на кнопку + VRF.
  3. В открывшемся окне в поле Имя введите имя виртуальной таблицы маршрутизации.
  4. В поле Таблица введите идентификатор виртуальной таблицы маршрутизации. Диапазон значений: от 100 до 199.
  5. Если хотите обеспечить дополнительную изоляцию трафика для виртуальной таблицы маршрутизации, установите флажок Добавить blackhole-маршрут. В результате при сохранении виртуальной таблицы маршрутизации в разделе Статические маршруты автоматически будет создан blackhole-маршрут 0.0.0.0/0.

    Если такой статический маршрут уже был создан ранее, при создании виртуальной таблицы маршрутизации флажок Добавить blackhole-маршрут будет установлен. При снятии флажка созданный ранее статический маршрут будет удален.

    По умолчанию флажок не установлен. При отсутствии blackhole-маршрута трафик может попадать в другие виртуальные таблицы маршрутизации.

  6. В раскрывающемся списке Интерфейсы выберите созданный сетевой интерфейс, который вы хотите добавить в виртуальную таблицу маршрутизации. Вы не можете добавить один сетевой интерфейс в несколько виртуальных таблиц маршрутизации.

    Сетевой интерфейс будет добавлен и отобразится в нижней части окна. Вы можете добавить несколько сетевых интерфейсов и удалить сетевые интерфейсы. Для удаления сетевого интерфейса нажмите рядом с ним на кнопку Удалить.

    Если вы добавили в виртуальную таблицу маршрутизации сетевой интерфейс с именем в формате overlay.<номер>, например overlay.100, вам нужно установить флажки Включать автоматически и Назначать IP, маршрут и шлюз при создании или изменении сетевого интерфейса.

  7. Нажмите на кнопку Создать.

    Виртуальная таблица маршрутизации будет создана и отобразится в таблице. На устройстве CPE будет создан системный сетевой интерфейс, соответствующий созданной виртуальной таблице маршрутизации. Если был установлен флажок Добавить blackhole-маршрут, в разделе Статические маршруты автоматически будет создан blackhole-маршрут 0.0.0.0/0.

  8. Создайте запись в веб-интерфейсе оркестратора для системного сетевого интерфейса:
    1. Выберите вкладку Сеть.

      Отобразится таблица сетевых интерфейсов.

    2. Нажмите на кнопку + Сетевой интерфейс.
    3. В открывшемся окне в поле Псевдоним введите имя виртуальной таблицы маршрутизации, которое вы указали на шаге 3 этой инструкции. Максимальная длина имени – 15 символов.
    4. Если сетевым интерфейсам в виртуальной таблице маршрутизации назначены зоны межсетевого экрана, и по умолчанию межсетевой экран устройства CPE не принимает пакеты трафика, пересылаемые между сетевыми интерфейсами и подсетями, в раскрывающемся списке Зона выберите зону межсетевого экрана. Выбранная зона межсетевого экрана также должна быть назначена одному из сетевых интерфейсов в виртуальной таблице маршрутизации.
    5. В поле Имя интерфейса введите имя виртуальной таблицы маршрутизации, которое вы указали на шаге 3 этой инструкции. Максимальная длина имени – 256 символов.
  9. Нажмите на кнопку Создать.

    Запись для системного сетевого интерфейса будет создана и отобразится в таблице.

  10. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

См. также

Управление межсетевым экраном
В начало
[Topic 271836]

Изменение виртуальной таблицы маршрутизации

Вы можете изменить виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве. Виртуальная таблица маршрутизации, измененная в шаблоне CPE, автоматически изменяется на всех устройствах CPE, которые используют шаблон CPE. Вы не можете изменить на устройстве CPE виртуальную таблицу маршрутизации, унаследованную из шаблона CPE.

Чтобы изменить виртуальную таблицу маршрутизации:

  1. Перейдите к изменению виртуальной таблицы маршрутизации одним из следующих способов:
    • Если вы хотите изменить виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
    • Если вы хотите изменить виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите вкладку VRF.

    По умолчанию выбрана вкладка VRF, на которой отображается таблица виртуальных таблиц маршрутизации.

  2. Нажмите на кнопку Изменить рядом с виртуальной таблицей маршрутизации, которую вы хотите изменить.
  3. В открывшемся окне измените необходимые параметры виртуальной таблицы маршрутизации.
  4. Нажмите на кнопку Сохранить.

    Виртуальная таблица маршрутизации будет изменена и обновится в таблице.

  5. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 271839]

Удаление виртуальной таблицы маршрутизации

Вы можете удалить виртуальную таблицу маршрутизации в шаблоне CPE или на устройстве CPE. Виртуальная таблица маршрутизации, удаленная в шаблоне CPE, автоматически удаляется на всех устройствах CPE, которые используют шаблон CPE. Вы не можете удалить на устройстве CPE виртуальную таблицу маршрутизации, унаследованную из шаблона CPE.

Удаленные виртуальные таблицы маршрутизации невозможно восстановить.

Чтобы удалить виртуальную таблицу маршрутизации:

  1. Перейдите к удалению виртуальной таблицы маршрутизации одним из следующих способов:
    • Если вы хотите удалить виртуальную таблицу маршрутизации в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку VRF.
    • Если вы хотите удалить виртуальную таблицу маршрутизации на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите вкладку VRF.

    По умолчанию выбрана вкладка VRF, на которой отображается таблица виртуальных таблиц маршрутизации.

  2. Нажмите на кнопку Удалить рядом с виртуальной таблицей маршрутизации, которую вы хотите удалить.
  3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

    Виртуальная таблица маршрутизации будет удалена и перестанет отображаться в таблице.

  4. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 271842]