Описание функции сетевого моста (Bridge) в аппаратных шлюзах серии ZyWALL USG

В каких случаях следует использовать соединение сетевого моста (Bridge) в аппаратных шлюзах серии ZyWALL USG и каковы его возможности? В статье описан функционал моста и 2 сценария применения.


В этой статье будет рассмотрен функционал и возможности сетевого моста в аппаратных шлюзах серии ZyWALL USG.

Мост (Bridge) - сетевое устройство 2-го уровня модели OSI, предназначенное для объединения интерфейсов.
Мост настраивается в веб-конфигураторе устройства в меню Configuration > Interface на закладке Bridge.

Здесь можно создать 7 правил  br(1-7). В мост можно объединить несколько физических интерфейсов (ge1, ge2, ge3… для ZyWALL USG 300/1000/2000 и wan1,lan1,dmz… для ZyWALL USG 20/50/100) или VLAN-интерфейсов. При объединении в мост интерфейсы теряют настройки третьего уровня: IP-адрес, маска подсети, IP-адрес шлюза, DHCP-сервер (привязка MAC-IP) и др.
Работают результирующие настройки, которые можно сделать при создании мостового интерфейса br(1-7). В один мост можно объединять несколько нетегированных физических интерфейсов (ge1, ge2, ge3… для ZyWALL USG 300/1000/2000 и wan1,lan1,dmz… для ZyWALL USG 20/50/100) и только один тегированный VLAN-интерфейс. При прохождении трафика с тегированного на нетегированный интерфейс моста устройство будет снимать тег, а при прохождении в обратную сторону – ставить. Трафик между интерфейсами, объединенными в мост, можно контролировать, используя Firewall и остальные системы Anti-X. Для этого нужно интерфейсы, которые входят в мост, привязать к разным зонам. Подробную информацию по настройкам зон и межсетевого экрана Firewall вы можете найти в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Настройки моста (Bridge) полностью аналогичны настройкам любого другого интерфейса на устройстве.
О настройке интерфейсов шлюза безопасности серии ZyWALL USG можно прочитать в статье: «Настройка интерфейса шлюза безопасности серии ZyWALL USG», кроме раздела Member Configuration. В нем выбираются интерфейсы (физические + VLAN'ы), которые будут объединены в настраиваемый мост.
Обращаем ваше внимание, что в мост могут быть объединены несколько физических и только один VLAN-интерфейс.
Как уже писалось выше, настройки интерфейса (IP-адрес, маска подсети, IP-адрес шлюза, DHCP и др.), использованного в мосте, перестают работать и учитываться при маршрутизации. Несмотря на это, рекомендуется всем интерфейсам, использованным в мосте, назначать фиктивный адрес 0.0.0.0 с маской 0.0.0.0. Это поможет избежать некоторых возможных проблем на стыке L2-L3 модели OSI.

Далее приведем некоторые сценарии использования моста в ZyWALL USG.

Сценарий 1. Использование программного моста, трафик между интерфейсами которого можно контролировать при помощи Firewall и систем Anti-X, позволяет без изменения топологии имеющейся сети установить  шлюз безопасности ZyWALL USG для защиты от внешних угроз, а возможность настройки до 7 таких мостов позволяет одновременно с этим использовать аппаратный шлюз для контроля трафика между подсетями, а также сегментами одной сети.

 

Сценарий 2. Возможность объединения в мост тегированных (VLAN) и нетегированных интерфейсов позволяет при необходимости принимать VLAN’ы от провайдера и прозрачно транслировать их в локальную сеть.

При необходимости можно маршрутизировать локальные сети через один из VLAN'ов или через нетегированный интерфейс (технология настройки нескольких виртуальных маршрутизаторов/мостов на одном устройстве). В одной сети можно комбинировать физические интерфейсы и VLAN-интерфейсы, IP-маршрутизацию и мосты.

KB-2780

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 3

Комментарии

0 комментариев