NSG logo
NSG heading

Документы в формате PDF, архив (FTP) и Web-справка открываются в новом окне

Две корпоративные площадки небходимо объединить туннелем через сеть общего пользования, с динамической маршрутизацией между ними. Обе площадки имеют статические публичные IP адреса в сетях поставщиков услуг. Для наглядности с одной стороны используется устройство NSG–700 с программным обеспечением NSG Linux 2.0, на другой — такое же, но с NSG Linux 1.0. Для упрощения настройки и по требованиям безопасности, для подключения к Интернет в оба устройства установлен дополнительный физический порт Ethernet — модуль UM–ET100; все три порта встроенного коммутатора используются для построения LAN офиса.

Маршрутизация OSPF и туннели GRE в корпоративной сети

Конфигурация устройства с Linux 2.0:

ip 
: route 
: : 1 
: : : gateway = "20.0.0.1" 
: dynamic-routing 
: : enable = true 
: : kernel 
: : : 1 
: : : : export  = "all" 
: : ospf 
: : : 1 
: : : : area 
: : : : : 0.0.0.1 
: : : : : : interface 
: : : : : : : "\"gre1\"" 
: : : : : : networks 
: : : : : : : 172.16.0.0/30 
: : : : : : stubnet 
: : : : : : : 192.168.1.0/24 
: : : : export = "all" 
: : : : router-id = "20.0.0.2" 
port 
: eth0 
: : ifAddress 
: : : prefix = "192.168.1.1/24" 
: s1
: : type = "eth"
: : ifAddress 
: : : prefix = "20.0.0.2/30"
tunnel 
: gre 
: : gre1 
: : : ifAddress 
: : : : prefix = "172.16.0.1/30" 
: : : source = "20.0.0.2" 
: : : destination = "30.0.0.2" 
: : : keepalive = "yes" 

Конфигурация устройства с NSG Linux 1.0:

hostname nsg 
! 
nsg 
  card s1 um-et100
  tunnel ip 1 
    destination-ip 20.0.0.2 
    source-ip 30.0.0.2 
    keepalive 5 retry 3 
    ttl 64 
    ip address 172.16.0.2/32 peer 172.16.0.1 
    exit 
  ethernet-switch 
    mode vlan 
    exit 
  port eth0 
    ip address 10.0.23.45/8 
    exit 
  port s1
    ip address 30.0.0.2/30 
    exit 
! 
interface tuni1 
  ip ospf network point-to-point 
! 
router ospf 
  ospf router-id 30.0.0.2 
  network 10.0.0.0/8 area 0.0.0.1 
  network 172.16.0.1/32 area 0.0.0.1 
!
 ip route 0.0.0.0/0 30.0.0.1 
!

Дополнительные замечания:

Для работы механизма GRE keepalive автоматически создаются служебные правила в цепочках .ip.mangle.GRE_KA и ip.mangle.input. После включения/выключения keepalive необходимо отдельно применить изменения в этом узле или выше. Настройка данных правил пользователем не предусмотрена, поэтому в общей конфигурации они не выводятся.

Начиная с версии NSG Linux 2.0 build 4, для OSPF допустимо также указание адреса удалённой стороны соединения "точка-точка" в качестве сети с маской /32:

ip 
: : ospf 
: : : 1 
: : : : area 
: : : : : 0.0.0.1 
: : : : : : networks 
: : : : : : : 172.16.0.2/32 
tunnel 
: gre 
: : gre1 
: : : ifAddress 
: : : : prefix = "172.16.0.1/32"
: : : : peer = "172.16.0.2" 

Обязательно задание пароля для доступа к устройству.

В целях безопасности настоятельно рекомендуется также:

  • Отключить Telnet и использовать для удалённого управления только SSH
  • Заблокировать HTTP с помощью фильтров и использовать для удалённого управления только HTTPS

© ООО "ЭН–ЭС–ДЖИ" 2004–2017 Web-master