Настройка интерфейса шлюза безопасности серии ZyWALL USG

Как правильно выполнить настройку интерфейса шлюза безопасности серии ZyWALL USG? В данной статье приведены описания полей и настроек Ethernet-интерфейса, используемые в аппаратных шлюзах серии ZyWALL USG.


В данной статье приведены описания полей и настроек Ethernet-интерфейса, используемые в аппаратных шлюзах серии ZyWALL USG.

Настройка Ethernet-интерфейсов в ZyWALL USG производится в веб-конфигураторе в меню Configuration > Interface > на закладке Ethernet.

Интерфейсы бывают 3 типов:

1. external (внешний интерфейс);
2. internal (внутренний интерфейс);
3. general (обычный).

На устройствах ZyWALL USG 20/20W/50/100 выбирать тип интерфейса можно только при настройке VLAN и моста (Bridge). В настройках интерфейсов тип на этих устройствах предустановлен и менять его нельзя.
На устройствах ZyWALL USG 300/1000/2000 на любом интерфейсе доступны для выбора все три типа.

Если установлен интерфейс external (внешний), тогда он автоматически в активном режиме включается в системный транк SYSTEM_DEFAULT_WAN_TRUNK, который является NAT-шлюзом по умолчанию для выхода в Интернет. Это значит, по умолчанию трафик в Интернет от локальных (internal) интерфейсов будет маршрутизироваться и транслироваться (NAT) через этот external-интерфейс в зависимости от его метрики. В этом режиме в настройках интерфейса можно включить режим DHCP-клиента для получения IP-адреса и поменять MAC-адрес интерфейса, но нельзя включить DHCP-сервер для раздачи IP-адресов.

Если установлен интерфейс internal (внутренний), тогда он автоматически правилами маршрутизации маршрутизируется в Интернет через транк SYSTEM_DEFAULT_WAN_TRUNK с интерфейсами типа external. Также в настройках интерфейса internal нельзя указать адрес шлюза, метрику, включить режим DHCP-клиента для получения IP-адреса по DHCP и поменять MAC-адрес, но при этом можно настроить DHCP-сервер для раздачи IP-адресов, настроить привязку по MAC-адресам и запрет на нарушения правил IP/MAC привязки - IP/MAC Binding.

Если установлен интерфейс general (обычный), доступны все настройки. При этом автоматические правила маршрутизации не создаются (их нужно прописывать через Policy Route), так же как и не происходит автоматического включения в транк. При получении IP-адреса автоматически, нельзя будет настроить DHCP-сервер на том же интерфейсе.

Зайдите в меню Configuration > Interface > на закладку Ethernet, выберите интерфейс и нажмите Edit. В открывшемся окне Edit Ethernet в левом верхнем углу нажмите Show Advanced Settings для отображения дополнительных параметров.

Далее описаны поля при настройке интерфейса типа general (так как в нем доступны все настройки).

В разделе General Settings можно включить или выключить интерфейс, соответственно установив или убрав галочку в поле Enable Interface.

В разделе Interface Properties настраиваются основные параметры интерфейса.

В поле Interface Type устанавливается тип интерфейса. Для ZyWALL USG 300/1000/2000 доступны все три типа internal/external/general). Для ZyWALL USG 20/20W/50/100 типы предустановленны, и поменять их нельзя.
В поле Interface Name укажите имя интерфейса.
В поле Port можно указать физические порты, на которых работает этот конкретный интерфейс. Настраивается в меню Configuration > Interface > на закладке Port Grouping.
В поле Zone следует указать зону (настраивается в меню Configuration > Zone), за которой будет закреплен этот интерфейс. Это нужно для настройки Firewall и сервисов Anti-Х.
В поле MAC Address отображается MAC-адрес интерфейса. Если установлен тип internal или general, его можно поменять ниже в разделе MAC Address Setting (данный раздел доступен, только если нажать Show Advanced Settings).

В разделе IP Address Assignment настраивается IP-адрес интерфейса.

Если указать значение Get Automatically, интерфейс будет пытаться получить IP-адрес по DHCP. В дальнейшем в настройках нельзя будет включить DHCP-сервер.
Если указать значение Use Fixed IP Address, тогда нужно будет указать в поле IP Address - IP-адрес интерфейса, в поле Subnet Mask - маску подсети, в поле Gateway - IP-адрес шлюза (если он необходим) и в поле Metric - значение метрики (доступно, ТОЛЬКО если указан шлюз). По метрике устройство определяет основной интерфейс для выхода в Интернет.

В разделе Interface Parameters настраиваются параметры работы интерфейса.

В поле Egress Bandwidth можно указать максимальную ширину канала в килобитах в секунду, которая может быть использована для отправки трафика. Этот параметр необходим для настройки балансировки нагрузок между несколькими внешними интерфейсами и для настройки функции управления полосой пропускания BWM (Bandwidth Management). Подробную информацию по настройке функции BWM в аппаратных шлюзах серии ZyWALL USG можно найти в статье: «BWM (Bandwidth Management) в аппаратных шлюзах безопасности серии ZyWALL USG»
В поле Ingress Bandwidth можно указать максимальную ширину канала в килобитах в секунду, которая может быть использована для приема трафика. На момент написания статьи данный параметр не используется (реализован для будущего использования).
В поле MTU можно настроить размер MTU на интерфейсе (поле доступно, только если нажать Show Advanced Settings).

В разделе Connectivity Check можно настроить проверку интерфейса путем отправки на заданный узел через этот интерфейс icmp/tcp-пакетов. Подробную информацию по настройке функции Connectivity Check в аппаратных шлюзах серии ZyWALL USG можно найти в статье: «Настройка Connectivity Check в аппаратных шлюзах серии ZyWALL USG». На основе настроенной проверки, в случае если она не прошла, интерфейсу назначается самая высокая метрика, и таким образом он исключается из маршрутизации и считается нерабочим для транка (Trunk) и для политики маршрутизации (Policy Route).
Информацию о настройке Trunk можно найти в статье: «Настройка балансировки внешних интерфейсов в аппаратном шлюзе серии ZyWALL USG», а информацию о настройке Policy Route - в статьях «Настройка политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG и NXC5200» и «Использование функции Auto-Disable для перехода к выполнению следующего правила Policy Route в аппаратных шлюзах серии ZyWALL USG».

 

В разделе DHCP Setting настраиваются параметры DHCP-сервера или перенаправления DHCP, а также привязка IP-MAC и включение функции IP/MAC Binding, которая отслеживает и запрещает трафик, если IP-адрес хоста не совпадает с привязанным MAC-адресом.
В поле DHCP можно выбрать значение None для отключения DHCP-сервера и функции перенаправления. Значение DHCP Server включает DHCP-сервер, а значение DHCP Relay включает перенаправление DHCP-запросов.

Приведем пример настройки DHCP-сервера на интерфейсе.

 

Все поля при настройке DHCP-сервера необязательные. Если они не будут заполнены, устройство подставит значения по умолчанию (они не будут отображаться в настройках, но будут при этом работать). Параметры по умолчанию для каждого поля указаны ниже.

В поле IP Pool Start Address (Optional) можно указать начальный IP-адрес для раздачи адресов DHCP-клиентам, а в поле Pool Size размер пула IP-адресов (должен входить в подсеть, которая была настроена на интерфейсе). Если поле IP Pool Start Address (Optional) не заполнено, устройство будет раздавать IP-адреса начиная с самого младшего IP-адреса, не занятого под адрес интерфейса.
В полях First, Second, Third DNS Server (Optional) можно указать соответственно Первый, Второй, Третий DNS-сервер, который будет выслан DHCP-клиенту. В этих полях можно указать значение Custom Defined (назначенный вручную) и самостоятельно вписать IP-адрес DNS-сервера. Можно установить значение From ISP (от провайдера) и указать внешний (external) интерфейс, с которого нужно получать адреса DNS-сервера. Если установить значение ZyWALL, то само устройство будет выполнять роль DNS-сервера, кэшируя DNS-имена и обращаясь к внешним DNS-серверам для разрешения запросов.
По умолчанию в этих полях установлен режим Custom Defined без указанного IP-адреса. Это значит, DHCP-клиенту не высылаются DNS-сервера!
В полях First, Second  WINS Server (Optional) можно соответственно указать Первый, Второй WINS-сервер для разрешения WINS-имен (cлужба сопоставления NetBIOS-имен компьютеров с IP-адресами хостов).
В поле Default Router (Optional) можно указать шлюз, который будет высылаться DHCP-клиенту. По умолчанию это адрес интерфейса, на котором настраивается DHCP-сервер.
Внимание! Если в поле Default Router будет выбрано значение Custom Defined и указан IP-адрес, отличный от IP-адреса интерфейса, тогда ZyWALL USG не будет являться основным шлюзом для DHCP-клиентов, и, соответственно, трафик от них через ZyWALL USG маршрутизироватся не будет без написания статических маршрутов на хосте.
В поле Lease Time можно указать время аренды IP-адреса. Можно установить значение infinite (без ограничения) или указать, на какое количество дней(days) / часов(hours) / минут(minutes) выдается IP-адрес DHCP-клиенту.
В поле Enable IP/MAC Binding можно установить галочку, в этом случае ZyWALL USG будет запрещать трафик с тех IP-адресов, для которых существует настроенная привязка IP-MAC и MAC-адрес не совпадает.
В поле Enable Logs for IP/MAC Binding Violation можно установить галочку, чтобы при обнаружении несоответствия между MAC и IP в логах создавалась соответствующая запись.
В Static DHCP Table можно прописывать сочетания IP-MAC для DHCP-сервера и функции IP/MAC Binding.

Раздел RIP Setting появляется только при нажатии Show Advanced Settings. Здесь можно настроить RIP (обмен статическими маршрутами).
В поле Direction можно указать направление работы RIP. Можно указать значение In-Only (только на прием), Out-Only (только на передачу) или BiDir (в обе стороны).
В поле Send Version можно указать, по какой версии RIP отправляются маршруты: 1, 2 или по обеим.
В поле Receive Version можно указать, по какой версии RIP принимаются маршруты: 1, 2 или по обеим.
Если установить галочку в поле V2-Broadcast, при включении ZyWALL USG высылает маршруты броадкастом по подсети интерфейса. Если галочка в поле V2-Broadcast не стоит, маршруты высылаются мультикастом.

В разделе OSPF настраиваются параметры, необходимые для работы OSPF.

В поле Area можно указать область (области настраиваются в Configuration > Network > Routing Protocol > OSPF). Значение none означает, что OSPF выключен.
В поле Priority можно указать приоритет. В поле Link Cost можно указать стоимость соединения.
Если установить галочку в поле Passive Interface, интерфейс не отправляет информацию о маршрутах, а только принимает.

В разделе MAC Address Setting можно задать MAC-адрес вручную. Доступно только для интерфейсов general и external.

При выборе значения Use Default MAC Address используется заводской MAC-адрес устройства.
Если вы хотите использовать другой MAC-адрес на устройстве или указать его вручную, установите значение Overwrite Default MAC Address и впишите новый MAC-адрес или нажмите кнопку Clone by host для клонирования MAC-адреса с хоста.
В окне Clone MAC Address укажите IP-адрес компьютера, с которого вы хотите клонировать MAC-адрес, чтобы на интерфейсе заменить MAC-адрес аппаратного шлюза (используется по умолчанию) MAC-адресом сетевого адаптера компьютера.

В разделе Related Setting (Связанные настройки) представлены прямые ссылки на настройки PPP-интерфейсов (PPPoE/PPTP), транка (Trunk), политики маршрутизации (Policy Route).

Об особенностях интерфейса типа Bridge (мост) читайте в статье: «Описание функции сетевого моста (Bridge) в аппаратных шлюзах серии ZyWALL USG»

KB-2782

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 3
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.