Сетевой мост

Сетевой мост – это объединение различных сегментов сети передачи данных в единую сеть.

В ARMA FW добавление и настройка сетевых мостов производится в подразделе интерфейсов («Интерфейсы» - «Другие типы» - «Сетевой мост»). При создании сетевого моста в веб-интерфейсе ARMA FW создаётся новый сетевой интерфейс в ОС с именем «bridge» и порядковым номером, начиная с «0».

Пример настройки сетевого моста

Перед настройкой и включением сетевого моста необходимо изменить значения системных параметров:

  • «net.link.bridge.pfil_bridge» – установить значение «1»;

  • «net.link.bridge.pfil_member» – установить значение «0».

Для изменения параметров необходимо выполнить следующие действия:

  1. Перейти в подраздел параметров ARMA FW («Система» - «Настройки» - «Параметры»).

  2. Нажать кнопку «bttn.pen» напротив изменяемого параметра и задать значение в поле «Значение».

  3. Нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».

Создание сетевого моста

Для настройки и проверки работоспособности сетевого моста используется схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки сетевого моста).

../../../_images/fw.rp.bridge.1.1.1.png

Рисунок – Схема стенда для настройки сетевого моста

Для добавления сетевого моста необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки сетевых мостов («Интерфейсы» - «Другие типы» - «Сетевой мост») и нажать кнопку «+Добавить».

  2. В поле параметра «Интерфейсы-участники» указать интерфейсы, соединяемые с помощью моста – «LAN» и «WAN», ввести «Bridge0» в поле параметра «Описание», а затем нажать кнопку «Сохранить» (см. Рисунок – Добавление сетевого моста).

../../../_images/fw.rp.bridge.1.1.2.png

Рисунок – Добавление сетевого моста

  1. Добавленный сетевой мост будет отображён в общей таблице (см. Рисунок – Перечень созданных сетевых мостов).

../../../_images/fw.rp.bridge.1.1.3.png

Рисунок – Перечень созданных сетевых мостов

  1. Перейти в настройки созданного сетевого интерфейса «Bridge0» («Интерфейсы» - «[Bridge0]») и задать настройки согласно таблице (см. Таблица «Параметры интерфейса»).

Таблица «Параметры интерфейса»

Параметр

Значение

Включить

Значение установлено

Тип конфигурации IPv4

Статический IPv4

Тип конфигурации IPv6

Отсутствует

IPv4-адрес

192.168.1.3/24

  1. Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

Примечание

После настройки сетевого моста правила МЭ необходимо создавать для интерфейса сетевого моста. Правила МЭ для интерфейсов-участников сетевого моста будут игнорироваться.

Проверка настроенного сетевого моста

Перед проверкой настроенного моста необходимо добавить правило МЭ (см. «Создание правил межсетевого экранирования») для интерфейса «Bridge0», разрешающее прохождение трафика по протоколу ICMP.

Для проверки работоспособности необходимо выполнить следующие действия:

  1. Перейти в настройки DHCP-сервера интерфейса «LAN» («Службы» - «DHCPv4» -«[LAN]») и выключить DHCP-сервер, убрав флажок с параметра «Включить DHCP-сервер на LAN интерфейсе», а затем, нажав кнопку «Сохранить».

  2. На ПК «Client» открыть браузер, выполнить подключение к веб-интерфейсу ARMA FW по адресу сетевого интерфейса «Bridge0» – «https://192.168.1.3» и произвести аутентификацию в веб-интерфейсе.

  3. Перейти в подраздел настроек LAN интерфейса («Интерфейсы» - «[LAN]»), в поле «Тип конфигурации IPv4» выбрать «Отсутствует», нажать кнопку «Сохранить», а затем кнопку «Применить изменения». В подразделе настроек WAN («Интерфейсы» - «[WAN]») интерфейса повторить те же действия.

  4. Перезагрузить ARMA FW. С ПК «Client» выполнить команду «ping» ПК «Server». При правильной настройке сетевого моста команда выполнится успешно (см. Рисунок – Успешное выполнение команды ping).

../../../_images/fw.rp.bridge.1.2.1.png

Рисунок – Успешное выполнение команды ping

При добавлении сетевого моста, нажав кнопку «Показать дополнительные параметры» (см. Рисунок – Добавление сетевого моста), будут доступны расширенные настройки, которые описаны в разделах «Настройка RSTP/STP» и «SPAN» настоящего руководства.

Настройка RSTP/STP

Функция RSTP/STP предназначена для устранения петель (бесконечных повторов передачи трафика) в топологии сети. Протокол автоматически блокирует соединения, являющиеся в данный момент для коммутаторов избыточными.

Для протокола RSTP/STP основными параметрами являются:

  • «Приоритет» – используется для определения корневого коммутатора. Коммутатор с наименьшим значением параметра назначается корневым в топологии сети;

  • «Стоимость» – используется для определения корневого порта коммутатора. Порт с наименьшим значением параметра назначается корневым. По умолчанию стоимость увеличивается с уменьшением скорости передачи порта.

Для проверки работоспособности протокола будет использоваться стенд с виртуальными машинами, представленный на рисунке (см. Рисунок – Стенд для проверки RSTP).

../../../_images/fw.rp.bridge.2.1.png

Рисунок – Стенд для проверки RSTP

Порты «WAN» каждой ВМ с ARMA FW подключены к гипервизору для возможности управления через веб-интерфейс. На ВМ «Web-Server» запущено приложение веб-сервера.

Для настройки протокола RSTP/STP необходимо выполнить следующие действия:

  1. На каждой ВМ с ARMA FW включить необходимые интерфейсы.

  2. На каждой ВМ с ARMA FW объединить включённые интерфейсы в сетевой мост с указанием параметров RSTP/STP.

  3. Задать созданным сетевым мостам IP-адреса в соответствии со схемой стенда (см. Рисунок – Стенд для проверки RSTP).

Для проверки работоспособности протокола RSTP/STP будет использоваться утилита «Wireshark», запущенная на ВМ «Web-Server».

Включение интерфейсов

Для включения интерфейса требуется выполнить следующие действия:

  1. Перейти в подраздел назначения портов («Интерфейсы» - «Назначения портов»), создать новый интерфейс (см. «Назначение портов»). Имя интерфейса выбирается в соответствии со схемой стенда (см. Рисунок – Стенд для проверки RSTP).

  2. Перейти в раздел интерфейсов («Интерфейсы»), выбрать созданный интерфейс, установить флажок «Включить» и, не изменяя другие параметры, нажать кнопку «Сохранить», а затем нажать кнопку «Применить» (см. «Настройка сетевых интерфейсов»).

  3. Повторить пункты 1-2 для каждого интерфейса каждой ВМ ARMA FW, указанных на схеме стенда (см. Рисунок – Стенд для проверки RSTP).

Объединение интерфейсов в сетевой мост

Для настройки параметров RSTP/STP будут использоваться значения, указанные в таблице (см. Таблица «Параметры RSTP/STP»).

Таблица «Параметры RSTP/STP»

Параметр

ARMA FW 1

ARMA FW 2

ARMA FW 3

ARMA FW 4

Протокол

RSTP

RSTP

RSTP

RSTP

STP-интерфейсы

BRIDGE0

BRIDGE0

BRIDGE0

BRIDGE0

LAN

LAN

LAN

LAN

OPT1

OPT1

OPT1

OPT1

OPT2

OPT1

OPT1

OPT1

OPT3

OPT2

OPT2

OPT2

OPT4

OPT2

OPT2

OPT2

Приоритет

4096

8192

12288

16384

Для объединения интерфейсов необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки сетевых мостов («Интерфейсы» - «Другие типы» - «Сетевой мост») и создать сетевой мост (см. «Создание сетевого моста»), указав в качестве интерфейсов-участников интерфейсы ВМ ARMA FW в соответствии со схемой стенда (см. Рисунок – Стенд для проверки RSTP). Для каждой ВМ ARMA FW указываются все перечисленные на схеме интерфейсы.

  2. Нажать кнопку «Показать дополнительные параметры» и в открывшейся форме (см. Рисунок – Включение протокола RSTP/STP), в блоке «Протокол остовного дерева (RSTP/STP)» установить флажок «Включить», затем указать параметры RSTP/STP в соответствии с таблицей (см. Таблица «Параметры RSTP/STP») и нажать кнопку «Сохранить».

../../../_images/fw.rp.bridge.2.2.1.png

Рисунок – Включение протокола RSTP/STP

  1. Для сетевого моста ВМ «ARMA FW1» дополнительно указать значения в полях каждого интерфейса для параметра «Приоритет» (см. Рисунок – Указание приоритета для сетевых интерфейсов):

  • «LAN» – 112;

  • «OPT1» – 96;

  • «OPT2» – 80;

  • «OPT3» – 48;

  • «OPT4» – 64.

../../../_images/fw.rp.bridge.2.2.2.png

Рисунок – Указание приоритета для сетевых интерфейсов

  1. Для сетевого моста ВМ «ARMA FW4» дополнительно указать значения в полях каждого интерфейса для параметра «Приоритет»:

  • «OPT1» – 16;

  • «OPT2» – 32.

Настройка сетевого моста

Созданные сетевые мосты необходимо настроить аналогично алгоритму, указанному в разделе «Создание сетевого моста» настоящего руководства.

IP-адреса для настройки представлены на схеме стенда (см. Рисунок – Стенд для проверки RSTP).

Проверка работы RSTP/STP

Для проверки работоспособности функции необходимо выполнить следующие действия:

  1. На ВМ «Admin» запустить веб-браузер и перейти по адресу «192.168.1.200» (см. Рисунок – Доступ к веб-серверу с ПК администратора) – это позволит проверить правильность настройки стенда.

../../../_images/fw.rp.bridge.2.4.1.png

Рисунок – Доступ к веб-серверу с ПК администратора

  1. На ВМ «Web-Server» запустить программу «Wireshark» и выполнить захват трафика на сетевом интерфейсе (см. Рисунок – Трафик с STP-пакетами). В списке захваченных пакетов будет присутствовать STP-трафик.

../../../_images/fw.rp.bridge.2.4.2.png

Рисунок – Трафик с STP-пакетами

  1. На ВМ «ARMA FW1» перейти в настройки сетевого моста («Интерфейсы» - «Другие типы» - «Сетевой мост»), нажать кнопку «Дополнительные настройки» и отключить функцию RSTP/STP, убрав соответствующий флажок.

  2. На ВМ «Web-Server» запустить программу «Wireshark» и выполнить захват трафика на сетевом интерфейсе (см. Рисунок – Трафик широковещательной рассылки). В списке захваченных пакетов будет постоянно расти трафик широковещательной рассылки, указывающий на наличие петли в топологии сети.

../../../_images/fw.rp.bridge.2.4.3.png

Рисунок – Трафик широковещательной рассылки