Kaspersky SD-WAN
2.4
Русский

Содержание

Маршрутизация на основе политик (PBR)

Помимо маршрутизации на основе стандартных свойств пакетов, таких как IP-адрес назначения, Kaspersky SD-WAN поддерживает маршрутизацию на основе политик (Policy-based Routing, PBR). Этот тип маршрутизации основан на использовании политик – наборах правил маршрутизации, или IP-правил, создаваемых пользователем (администратором или тенантом) и сохраняемых на устройстве. Ниже приведены примеры пользовательских сценариев использования PBR-маршрутизации:

  • Перенаправление трафика для сетей, определенных пользователем, в обход межсетевого экрана в случае проблем с межсетевым экраном.

  • Перенаправление трафика для сетей, определенных пользователем, в интернет через SD-WAN в сторону шлюза, который является единой точкой выхода в интернет для всех CPE.

Вы можете создавать и просматривать правила маршрутизации как в командной строке на устройстве CPE с помощью команд пакета утилит iproute2, так и в графическом интерфейсе оркестратора. В этом разделе дается описание работы с правилами маршрутизации в графическом интерфейсе оркестратора.

В этом разделе

Работа с IP-правилами маршрутизации
В начало
[Topic 299982]

Работа с IP-правилами маршрутизации

Вы можете посмотреть таблицу IP-правил в шаблоне CPE и на устройстве CPE:

  • Для просмотра таблицы IP-правил в шаблоне CPE вам нужно в меню перейти в раздел SD-WAN → Шаблоны CPE, нажать на шаблон CPE и выбрать в боковой панели раздел PBR.
  • Для просмотра таблицы IP-правил на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → CPE, нажать на устройство CPE и выбрать в боковой панели раздел PBR.

Информация о IP-правилах отображается в следующих столбцах таблицы:

  • Приоритет – приоритет правила. Чем ниже значение, тем раньше применяется правило.
  • Статус – статус правила. Возможные значения:
    • Включено – правило активно;
    • Выключено – правило неактивно.
  • IP-протокол – IP-протокол. Возможны следующие значения:
    • TCP
    • UDP
    • ICMP
    • SCTP
    • AH
    • ESP
    • GRE
    • IPIP
  • Исходящий префикс сети – хост или сеть источника.
  • Исходящий порт – порт источника.
  • Сетевой интерфейс источника – входящий интерфейс для сопоставления. Если интерфейс является петлевым, то правило соответствует только пакетам, исходящим из этого хоста,
  • Конечный префикс сети – хост или сеть назначения.
  • Конечный порт – порт назначения.
  • Выходной сетевой интерфейс – исходящий интерфейс для сопоставления. Исходящий интерфейс доступен только для пакетов, исходящих из локальных сокетов, привязанных к устройству.
  • "sdwan.pbr.ip.rule": "IP address rule",
  • "sdwan.pbr.lookup.vrf": "Lookup VRF",
  • "sdwan.pbr.max.rules.hint": "{currentValue} out of {maxValue} rules already created",
  • "sdwan.pbr.port.hint": "You can enter either a single value or a range of values from 1 to 65535 separated by a dash. Examples:<br></br>443<br></br>1024-65535",
  • "sdwan.pbr.priority.hint": "The lower the priority value, the earlier it is applied.",
  • "sdwan.pbr.src.interface.hint": "Incoming interface to match. If the interface is a loopback, the rule only matches packets originating from this host.",
  • "sdwan.pbr.vrf.main.error": "Unable to save rule for this VRF: source IP address other than 0.0.0.0/0 must be specified.",
  • VRF – VRF, в котором выполняется поиск маршрутов.
  • Действия – действия, которые можно выполнить с IP-правилом (включить, включить, изменить, удалить).

В этом разделе

Создание IP-правила

Изменение IP-правила

Удаление IP-правила
В начало
[Topic 300311]

Создание IP-правила

Вы можете создать IP-правило в шаблоне CPE или на устройстве CPE. IP-правила, созданные в шаблоне CPE, будут автоматически созданы на всех устройствах CPE, которые используют шаблон CPE.

Чтобы создать IP-правило:

  1. Перейдите к созданию IP-правила одним из следующих способов:
    • Если вы хотите создать IP-правило в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите в боковой панели раздел PBR.
    • Если вы хотите создать список управления доступом на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите в боковой панели раздел PBR.

    Отобразится таблица списков управления доступом.

  2. Нажмите на кнопку + IP правило.
  3. В открывшемся окне в поле Приоритет введите приоритет правила. Чем ниже значение, тем раньше применяется правило. Значение должно быть уникальным.
  4. В раскрывающемся списке IP-протокол выберите IP-протокол. Возможны следующие значения:
    • TCP
    • UDP
    • ICMP
    • SCTP
    • AH
    • ESP
    • GRE
    • IPIP
  5. Укажите необходимые параметры источника и назначения для IP-правила в блоках Источник и Назначение:
    • Укажите тип источника или назначения, выбрав нужный вариант параметра Тип: хост или сеть.
    • В зависимости от выбранного в поле Тип варианта укажите в поле ниже:
      • IP-адрес источника или назначения, если вы выбрали тип Хост (поле при этом имеет название IP-адрес;
      • IP-адрес и маску источника или назначения, если вы выбрали тип Сеть (поле при этом имеет название IP/маска.
    • В поле Порт укажите порт источника или назначения.

      Допускается ввод как одного значения, так и диапазона значений от 1 до 65 535 через черту, например: 443, 1024-65535.

    • В раскрывающемся списке Псевдоним сетевого интерфейса выберите интерфейс источника (входящий интерфейс) или назначения (исходящий интерфейс).

      Если входящий интерфейс является петлевым, то правило будет соответствовать только пакетам, исходящим из этого хоста, Исходящий интерфейс доступен только для пакетов, исходящих из локальных сокетов, привязанных к устройству.

  6. В раскрывающемся списке Искать в VRF выберите VRF, в котором должен выполняться поиск маршрутов.

    Если вы выбрали main/254, то в блоке Назначение вам необходимо указать IP-адрес источника, отличный от 0.0.0.0/0, иначе правило невозможно будет сохранить.

  7. Нажмите на кнопку Создать.

    IP-правило будет создано и отобразится в таблице.

  8. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 300312]

Изменение IP-правила

Вы можете изменить IP-правила в шаблоне CPE или на устройстве CPE. IP-правила, измененные в шаблоне CPE, автоматически изменяются на всех устройствах CPE, которые используют шаблон CPE.

Чтобы изменить IP-правило:

  1. Перейдите к изменению IP-правила одним из следующих способов:
    • Если вы хотите изменить список IP-правила в шаблоне CPE:
      • Перейдите в меню в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите в боковой панели раздел PBR.
      • В отобразившейся таблице IP-правил в столбце Действия нажмите на кнопку Изменить для правила, которое вы хотите изменить.
    • Если вы хотите изменить список управления доступом на устройстве CPE:
      • Перейдите в меню в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите в боковой панели раздел PBR.
      • В отобразившейся таблице IP-правил в столбце Действия нажмите на кнопку Изменить для правила, которое вы хотите изменить. Если IP-правило было унаследовано из шаблона, предварительно установите для него флажок Переопределить, чтобы отобразилась кнопка Изменить.
  2. В открывшемся окне измените требуемые параметры IP-правила. Описание параметров можно найти в инструкции по созданию IP-правила.
  3. Нажмите на кнопку Сохранить.

    IP-правило будет изменено и обновится в таблице.

  4. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 300365]

Удаление IP-правила

Вы можете удалить IP-правила в шаблоне CPE или на устройстве CPE. IP-правила, удаленные в шаблоне CPE, автоматически удаляется на всех устройствах CPE, которые используют шаблон CPE. Вы можете удалить на устройстве CPE только те IP-правила, которые были добавлены непосредственно на устройстве, и не сможете удалить IP-правила, унаследованные из шаблона.

Удаленные IP-правила невозможно восстановить.

Чтобы удалить IP-правило:

  1. Перейдите к удалению IP-правила одним из следующих способов:
    • Если вы хотите удалить IP-правило в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите в боковой панели раздел PBR.
    • Если вы хотите удалить не унаследованное из шаблоне CPE IP-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE и выберите в боковой панели раздел PBR.

    Отобразится таблица IP-правил.

  2. Нажмите на кнопку Удалить рядом с IP-правилом, которое вы хотите удалить.
  3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

    IP-правило будет удалено и перестанет отображаться в таблице.

  4. В нижней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
В начало
[Topic 300367]