Сеть

Общие сведения по настройке сети

Для интеграции Termidesk Connect в существующую сеть организации нужно выполнить настройку:

  • сетевых интерфейсов;

  • агрегации каналов (опционально);

  • VRF (опционально);

  • VLAN;

  • IP-адресов;

  • маршрутизации;

  • IP-Фондов (опционально).

Настройка VRF

Настройка VRF является необязательной и выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для создания VRF используются команды:

Описание параметров также приведено в подразделе Объект vrf.

  • создание VRF и назначение таблицы маршрутизации:

set vrf name <имя> table-id <номер_таблицы>
Номер таблицы задает идентификатор таблицы маршрутизации, которая будет ассоциирована с этим VRF. Номер таблицы должен быть уникальным.

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml vrf name <имя>

  • просмотр выполненных команд:

show configuration cli vrf name <имя>

Настройка интерфейсов

Настройка интерфейсов выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Имя интерфейса определяется автоматически после загрузки Termidesk Connect. MAC-адрес также будет назначен автоматически, но его можно изменить.

Для настройки интерфейсов используются команды:

Описание параметров также приведено в подразделе Объект ethernet.

  • (опционально) назначение VRF сетевому интерфейсу:

set ethernet name <имя> vrf <имя_VRF>

  • (опционально) назначение MAC-адреса сетевому интерфейсу:

set ethernet name <имя> mac <MAC-адрес>

  • (опционально) назначение DDoS-Профиля сетевому интерфейсу:

set ethernet name <имя> ddos-profile-id <DDoS-Профиль>

  • (опционально) активация или отключение протокола ARP для сетевого интерфейса:

set ethernet name <имя> arp <true/false>

  • (опционально) привязка сетевого интерфейса к агрегированному каналу:

set ethernet name <имя> agg <имя_агрегегированного_интерфейса>

  • (опционально) назначение списка контроля доступа сетевому интерфейсу:

set ethernet name <имя> acl-id <имя_списка>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml ethernet name <имя>

  • просмотр выполненных команд:

show configuration cli ethernet name <имя>

Настройка агрегации каналов

Агрегированный канал объединяет несколько физических сетевых интерфейсов в один логический LAG-интерфейс, что позволяет повысить пропускную способность сетевого соединения и обеспечить его отказоустойчивость.

Termidesk Connect поддерживает протокол LACP, описанный в стандарте IEEE 802.3ad, для настройки LAG-интерфейсов.

Настройка агрегации каналов выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для настройки агрегации каналов используются команды:

Описание параметров также приведено в подразделе Объект aggregation.

  • создание LAG-интерфейса:

set aggregation name <имя>

  • назначение типа LAG-интерфейса:

Возможные значения:

  • LACP – будет использоваться протокол LACP. После того как агрегированный канал сформирован, за поддержание статуса канала отвечает LACP;

  • Active-backup – будет использоваться только активный интерфейс из объединенных. При отказе активного интерфейса выполняется автоматическое переключение на резервный интерфейс.

Не допускается изменение типа для уже созданного и настроенного интерфейса.

Для использования типа LACP он должен поддерживаться сетевым коммутатором.

 
set aggregation name <имя> type <тип>

  • (опционально, если задан тип LACP) назначение режима работы LAG-интерфейса (по умолчанию –slow):

Возможные значения:

  • fast – режим работы, при котором частота отправки LACPDU-пакетов составляет один раз в секунду для более быстрого обнаружения изменений в сети;

  • slow – режим работы, при котором частота отправки LACPDU-пакетов составляет один раз в 30 секунд.

 
set aggregation name <имя> lacp-rate <режим>

  • (опционально, если задан тип Active-backup) назначение частоты (в миллисекундах) мониторинга MII (Media Independent Interface) (по умолчанию – 100):

set aggregation name <имя> miimon <значение>

  • (опционально) назначение VRF для LAG-интерфейса:

set aggregation name <имя> vrf <имя_VRF>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml aggregation name <имя>

  • просмотр выполненных команд:

show configuration cli aggregation name <имя>
После настройки LAG-интерфейса требуется назначить его физическим сетевым интерфейсам (см. настройку интерфейсов в подразделе Сеть). Также может потребоваться настройка VLAN (см. настройку VLAN в подразделе Сеть).

Настройка VLAN

Настройка VLAN является необязательной и выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для создания и настройки VLAN используются команды:

Описание параметров также приведено в подразделе Объект vlan.

  • создание VLAN и назначение ему идентификатора:

set vlan name <имя> vlan-id <идентификатор>

  • назначение VLAN сетевому интерфейсу:

Сетевые интерфейсы определяются автоматически при загрузке Termidesk Connect. 
set vlan name <имя> if-ethernet <имя_интерфейса>

  • (опционально) назначение VRF для VLAN:

set vlan name <имя> vrf <имя_VRF>

  • (опционально, если используется отказоустойчивая конфигурация) задание типа синхронизации:

Тип может быть:

  • LOCAL – VLAN используется в локальной конфигурации, не синхронизируется для отказоустойчивой конфигурации;

  • SHARED – VLAN синхронизируется для отказоустойчивой конфигурации.

 
set vlan name <имя> ha-type <значение>
set vlan name <имя> if-aggregation <имя_агрегированного_интерфейса>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml vlan name <имя>

  • просмотр выполненных команд:

show configuration cli vlan name <имя>

Настройка IP-адресов

Настройка IP-адресов является обязательной и выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для добавления и настройки IP-адресов используются команды:

Описание параметров также приведено в подразделе Объект ip.

  • добавление IP-адреса в формате CIDR:

set ip address <IP-адрес> <длина_префикса>

Пример:

set ip address 172.16.0.1 /16

  • назначение сетевого интерфейса для добавленного IP-адреса:

Сетевые интерфейсы определяются автоматически при загрузке Termidesk Connect. 
set ip address <IP-адрес> <длина_префикса> if-ethernet <имя_интерфейса>

Пример:

set ip address 172.16.0.1 /16 if-ethernet eth0

  • или назначение VLAN для добавленного IP-адреса:

VLAN должен быть предварительно создан. 
set ip address <IP-адрес> <длина_префикса> if-vlan <имя_VLAN>

  • (опционально, если используется отказоустойчивая конфигурация) задание типа синхронизации:

Тип может быть:

  • LOCAL – IP-адрес используется в локальной конфигурации, не синхронизируется для отказоустойчивой конфигурации;

  • SHARED – IP-адрес для отказоустойчивой конфигурации.

 
set ip address 172.16.0.1 /16 ha-type <значение>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml ip

  • просмотр выполненных команд:

show configuration cli ip

Настройка маршрутизации

Настройка маршрутизации является обязательной и выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для добавления маршрута используются команды:

Описание параметров также приведено в подразделе Объект ip.

  • добавление маршрута с указанием IP-адреса в формате CIDR:

set ip route <имя_VRF> <IP-адрес><длина_префикса> <IP-адрес_шлюза>

Пример:

set ip route namevrf 0.0.0.0/8 172.16.0.1

  • (опционально, если используется отказоустойчивая конфигурация) задание типа синхронизации:

Тип может быть:

  • LOCAL – маршрут используется в локальной конфигурации, не синхронизируется для отказоустойчивой конфигурации;

  • SHARED – маршрут синхронизируется для отказоустойчивой конфигурации.

 
set ip route <имя_VRF> <IP-адрес><длина_префикса> <IP-адрес_шлюза> ha-type <значение>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр заданных проверок (указывается формат вывода – XML, JSON и TXT):

show configuration xml ip

  • просмотр выполненных команд:

show configuration cli ip

Настройка IP-Фондов

IP-Фонд – это группа IP-адресов, которые может использовать Termidesk Connect для взаимодействия с Реальными Серверами. Настройка IP-Фонда необходима для:

  • определения перечня IP-адресов, с которых Termidesk Connect будет подключаться к Реальным Серверам;

  • снятия существующих сетевых ограничений по количеству открытых TCP-сессий со стороны Termidesk Connect к Реальным Серверам.

Добавление IP-Фондов в общем случае помогает решить ситуацию, когда количество TCP-сеесий, открываемых между Termidesk Connect (работающим в режиме Full Proxy) и Реальными Серверами, ограничивается максимально возможным их количеством (65 536) для одного IP-адреса.

Настройка IP-Фондов является необязательной и выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. Сеть).

Для создания и настройки IP-Фондов используются команды:

Описание параметров также приведено в подразделе Объект ipset.

  • создание IP-Фонда:

set ipset id <имя>

  • добавление IP-адреса в IP-Фонд:

IP-адрес может быть любым: он необязательно должен быть из списка тех, что уже существуют для физических сетевых интерфейсов. 
set ipset id <имя> ips <IP-адрес>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

  • просмотр конфигурации IP-Фонда (указывается формат вывода – XML, JSON и TXT):

show configuration xml ipset id <имя>

  • просмотр конфигурации IP-адреса в IP-Фонде:

show configuration <тип просмотра> ipset id <имя> ips <IP-адрес>

Настройка динамической маршрутизации

Общие сведения по настройке динамической маршрутизации

Termidesk Connect поддерживает управление динамической маршрутизацией с использованием ПО Free Range Routing (FRR) – набора служб маршрутизации с поддержкой протоколов BGP, OSPF и других.

Настройки динамической маршрутизации выполняются из интерфейса VTYSH (см. подраздел Общие сведения по работе с VTYSH), для этого:

  • перейти в интерфейс VTYSH, последовательно выполнив:

bash
sudo vtysh

  • перейти в режим настройки:

configure terminal

  • выполнить требуемые настройки динамической маршрутизации;

Ручное изменение маршрутов недопустимо: состояние службы frr не отслеживается автоматические, поэтому при ручном изменении какого-либо из маршрутов поведение станет неопределенным.

Для работы анонсирования маршрута (RHI) для определенного VRF нужно:

  • выполнить настройку маршрутизатора BGP:

router bgp <номер_системы> vrf <имя_VRF>

где:

<номер_системы> – числовой идентификатор автономной системы (AS Number, ASN) – группы сетей, использующих BGP и находящихся под единым административным управлением. Часто ASN – это идентификатор сети провайдера;

<имя_VRF> – имя VRF;

  • при настройке eBGB нужно:

    • либо настроить политики протокола;

    • либо выполнить (до ввода команды должна быть выполнена настройка маршрутизатора BGP):

no bgp ebgp-requires-policy

При работе RHI в конфигурацию добавятся строки следующего вида, которые не следует менять вручную:

network <виртуальный_IP-адрес>/32

  • после настройки последовательно выйти из режима конфигурирования config-router:

exit
exit

  • убедиться, что отображена строка приглашения termidesk-connect-dr#;

  • записать изменения:

write

  • убедиться в правильности настройки:

show running-config

  • из termidesk-connect-dr# перейти в стандартный интерфейс командной строки Linux Shell:

exit

  • перезапустить службу frr:

sudo systemctl restart frr

Пример настройки минимальной конфигурации для динамической маршрутизации

Пример настройки:

  • перейти в интерфейс VTYSH, последовательно выполнив:

bash
sudo vtysh

  • перейти в режим настройки:

configure terminal

  • выполнить настройку маршрутизатора BGP:

router bgp <номер_системы>

где:

<номер_системы> – числовой идентификатор автономной системы (ASN) – группы сетей, использующих BGP и находящихся под единым административным управлением. Часто ASN – это идентификатор сети провайдера;

  • отключить политики протокола для eBGP:

no bgp ebgp-requires-policy

  • добавить информацию о соседнем маршрутизаторе BGP:

neighbor <IP-адрес_соседа> remote-as <номер_системы_соседа>

  • после настройки последовательно выйти из режима конфигурирования config-router:

exit
exit

  • убедиться, что отображена строка приглашения termidesk-connect-dr#;

  • записать изменения:

write

  • убедиться в правильности настройки:

show running-config
Building configuration...

Current configuration:
!
frr version 10.3.1
frr defaults traditional
hostname lb-name
log syslog informational

service integrated-vtysh-config
!
router bgp 10
 no bgp ebgp-requires-policy
 neighbor 192.168.0.2 remote-as 22
exit
!
end

  • из termidesk-connect-dr# перейти в стандартный интерфейс командной строки Linux Shell:

exit

  • перезапустить службу frr:

sudo systemctl restart frr