Публикация глобальных IP-адресов в локальную сеть ZyWALL USG при предоставлении Интернета по VLAN

Как обеспечить выход в Интернет (предоставляемый по VLAN) и доступ из Интернета к группе локальных серверов с глобальными IP-адресами, а также выход хостов локальной сети под одним глобальным IP-адресом?


Провайдер предоставляет выход в Интернет по VLAN и выдает пул глобальных IP-адресов. Имеется локальная сеть, для которой выход в Интернет должен осуществляться через один глобальный определенный IP-адрес из пула провайдера. Также имеется группа серверов, которые должны иметь для доступа в Интернет и для обращения к ним из Интернета собственный глобальный IP-адрес (см. схему сети).

Условия настройки и тестирования схемы:
На внешний интерфейс WAN1 устройства приходит VLAN 50, в котором настроена подсеть 172.168.1.0/24. Локальная сеть LAN1 за ZyWALL USG – 192.168.1.0/24. Локальный интерфейс LAN2 задействован для размещения cерверов с IP-адресами из подсети 172.168.1.0/24 (в нашем примере используются IP-адреса из частной подсети, но в реальной схеме могут быть использованы публичные IP-адреса).
Для решения нашей задачи нужно задействовать программный мост (Bridge) между VLAN-интерфейсом, который будет настроен на основе WAN1-интерфейса, и локальным интерфейсом LAN2, к которому будут подключаться сервера.

Далее рассмотрим подробно настройку аппаратного шлюза ZyWALL USG.

1. Настройка интерфейсов.

Настройку интерфейсов будем производить в меню Configuration > Network > Interface на закладке Ethernet.

  

Красным подчеркнуты интерфейсы, которые будут использованы для настройки VLAN (wan1) и для подключения серверов (lan2), а синим – локальная сеть.

Так как по условию задачи на интерфейс wan1 приходит только тегированный трафик (VLAN 50), в настройках wan1-интерфейса в целях безопасности установлен статический адрес 0.0.0.0 с маской 0.0.0.0. Таким образом, интерфейс не будет принимать и отвечать на нетегированные пакеты, которые будут приходить на этот интерфейс.

Так как интерфейс lan2 будет включен в мост (Bridge), он потеряет свой собственный IP-адрес. Во избежание проблем c маршрутизацией на интерфейсе lan2 имеет смысл так же установить IP-адрес и маску статически, указав 0.0.0.0. Это необходимо в случае, если подсеть на этом интерфейсе будет пересекаться с какой-нибудь рабочей подсетью.

Подробную информацию по настройкам интерфейсов аппаратного шлюза серии ZyWALL USG можно найти в статье: «Настройка интерфейса шлюза безопасности серии ZyWALL USG»

2. Настройка VLAN.

Для настройки VLAN перейдите в меню Configuration > Network > Interface на закладку VLAN.

VLAN настраивается на основе того порта, куда подключен провайдер (в нашем случае это wan1), и с VLAN ID, выданным провайдером (в нашем случае это VLAN 50). Так как этот VLAN будет входить в мост, его IP-адрес и маска не имеют значения и установлены статически 0.0.0.0.

3. Настройка моста (Bridge).

Для настройки моста перейдите в меню Configuration > Network > Interface на закладку Bridge и нажмите кнопку Add.

Так как результирующий интерфейс br1 будет использоваться для выхода в Интернет локальной сети (lan1), в разделе Interface Properties нужно в поле Interface Type установить значение External, а в поле ZoneWAN.
В поле Zone указывается зона, которая нужна для настройки Firewall и сервисов Anti-X. Информацию по настройке зон можно найти в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»
В разделе Member Configuration необходимо выбрать настроенный ранее vlan50 и интерфейс lan2, куда будут подключаться сервера.
В разделе IP Address Assignment необходимо задать адрес и маску из предоставляемого пула IP-адресов от провайдера для управления устройством. Также этот адрес будет использоваться для выхода хостов локальной сети в Интернет. В качестве шлюза (Gateway) указываем шлюз, предоставляемый провайдером.

Дополнительную информацию по настройкам моста (Bridge) в ZyWALL USG и его возможностям можно найти в статье: «Настройка интерфейса шлюза безопасности серии ZyWALL USG»

4. Настройка транка (Trunk).

Так как по условиям нашей задачи Интернет от провайдера приходит по определенному VLAN и интерфейс wan1 для выхода в Интернет не используется, необходимо настроить свой транк (из транка, настроенного по умолчанию, нельзя убрать внешние external-интерфейсы). В этот транк войдет только настроенный интерфейс br1.

Вот так будет выглядеть настройка транка, если для выхода в Интернет используется один канал.

В разделе Default WAN Trunk переключаемся на User Configured Trunk и выбираем созданный нами транк.

Default WAN Trunk определяет, какие интерфейсы будут использоваться для выхода в Интернет пользователей локальной сети за ZyWALL USG с NAT. Настроить NAT можно и через Policy Routing, тогда Default WAN Trunk должен быть отключен.
Подробно по настройкам транка (Trunk) в ZyWALL USG можно прочитать в статье: «Настройка балансировки внешних интерфейсов в аппаратном шлюзе серии ZyWALL USG»

На серверах, подключенных к lan2 аппаратного шлюза ZyWALL USG, необходимо вручную задать параметры IP-адреса, маски подсети, шлюза и DNS-серверов, исходя из настроек, предоставленных  провайдером.

Внимание! Для серверов, подключенных к lan2, IP-адрес основного шлюза (выдается провайдером) должен быть такой же, как и адрес шлюза (Gateway) на интерфейсе br1.

 

KB-3311

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев