|
В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны Защита с помощью RAID. Шифрование данных и управление ключом. Стратегии создания копий и восстановления. Каким образом шифрование обеспечивает отказоустойчивость? |
Инспектор
Вы можете этот курс.
Опубликован: 28.11.2014 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лабораторная работа 10:
Создание альтернативных маршрутов с использованием статической маршрутизации
< Лекция 11 || Лабораторная работа 10 || Лабораторная работа 11 >
Ключевые слова: Интернет, PBR, доступ, LAN, альтернативные, маршрут, интерфейс, таблица маршрутизации
Цель
Использовать два выхода в интернет: один канал использовать для доступа в интернет из локальной сети, в другой для доступа из DMZ-сети.
Топология сети
Следует использовать статическую маршрутизацию на основе правил (Policy-BasedRouting – PBR) для создания сети с двумя выходами в интернет.
Описание практической работы
Создать статическую маршрутизацию и политики доступа, которые обеспечивают доступ в интернет компьютеров из локальной сети LAN через канал, подключенный к wan1-интерфейсу маршрутизатора и доступ в интернет из DMZ-сети через канал, подключенный к wan2-интерфейсу маршрутизатора. Для этого следует использовать статическую маршрутизацию на основе правил.
Маршрутизация на основе адреса источника
Объекты Адресной Книги
В Адресной Книге создать объекты, описывающие альтернативные шлюзы интернет-провайдеров.
Альтернативная таблица маршрутизации
Создать альтернативную таблицу маршрутизации.
Веб-интерфейс:
Routing -> Routing Tables -> Add -> Routing Table
Name altInet
Ordering: Only
Командная строка:
add RoutingTable altInet Ordering=Only
В созданной таблице создать маршрут по умолчанию к ISP2 через интерфейс wan2.
Веб-интерфейс:
Routing -> Routing Tables -> altInet -> Add
Командная строка:
cc RoutingTable altInet
add Route Interface=wan2 Network=all-nets Gateway=altInet/gwISP2 Metric=100
В таблице маршрутизации main проверить наличие маршрутов по умолчанию к ISP2 через интерфейс wan2, а также остальных необходимых маршрутов.
Веб-интерфейс:
Routing -> Routing Tables -> main -> Add
Правило выбора таблицы маршрутизации PBR
Веб-интерфейс:
Routing -> Routing Rules -> Add -> Routing Rule
Командная строка:
add RoutingRule ForwardRoutingTable=altDMZ ReturnRoutingTable=altDMZ SourceInterface=dmz SourceNetwork= dmz/dmz_net DestinationInterface=any DestinationNetwork=all-nets Service=all_services Name=altDMZ
Правила фильтрования
Веб-интерфейс:
Rules -> IP Rules -> Add -> IP Rule Folder
Name toInet
Rules -> IP Rules -> toInet -> Add -> IP Rule
Командная строка:
add IPRuleFolder Name=toInet
cc IPRuleFolder <N folder>
add IPRule Action=NAT SourceInterface=lan SourceNetwork= lan/lan_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=all_services Name=inet
add IPRule Action=NAT SourceInterface=dmz SourceNetwork=dmz/dmz_net DestinationInterface=wan2 DestinationNetwork=all-nets Service=all_services Name=inet_2
Проверка конфигурации
- Выполняем выход в интернет с интерфейса lan и проверяем, что соединение установлено через интерфейс wan1.
- Выполняем выход в интернет с интерфейса dmz и проверяем, что соединение установлено через интерфейс wan1.
Маршрутизация на основе сервиса
Альтернативная таблица маршрутизации
Альтернативная таблица маршрутизации создается аналогично маршрутизации на основе адреса источника.
Правило выбора таблицы маршрутизации PBR
Веб-интерфейс:
Routing -> Routing Rules -> Add -> Routing Rule
Командная строка:
add RoutingRule ForwardRoutingTable=altInet ReturnRoutingTable=altInet SourceInterface=dmz SourceNetwork=dmz/dmz_net DestinationInterface=any DestinationNetwork=all-nets Service=ssh Name=altDMZ
Правила фильтрования
Веб-интерфейс:
Rules -> IP Rules ->Add-> IP Rule Folder
Name toInet
Rules -> IP Rules -> toInet ->Add-> IP Rule
Командная строка:
add IPRule FolderName=toInet
cc IPRuleFolder <N folder>
add IPRule Action=NAT SourceInterface=lan SourceNetwork= lan/lan_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=all_services Name=inet
add IPRule Action=NAT SourceInterface=dmz SourceNetwork= dmz/dmz_net DestinationInterface=wan2 DestinationNetwork=all-nets Service=ssh Name=inet_ssh
add IPRule Action=NAT SourceInterface=dmz SourceNetwork= dmz/dmz_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=all_services Name=inet_2
Проверка конфигурации
- Выполняем выход в интернет по протоколу ssh с dmz-интерфейса.
- Выполняем выход в интернет по протоколу ICMP с dmz-интерфейса.
< Лекция 11 || Лабораторная работа 10 || Лабораторная работа 11 >
Александр Косенков
Евгений Шахов
|
Страница http://www.intuit.ru/studies/courses/14250/1286/lecture/24237 содержит "Интерфейс wan1 имеет IP-адрес 10.6.10.62 и соединен с подсетью 10.6.10.0/28 со шлюзом провайдера, который обеспечиваетвыход в интернет и имеет IP-адрес 10.6.10.3." - что не верно, так как подсеть 10.6.10.0/28 имеет диапазон IP-адресов 10.6.10.1-14, интерфейс wan1 с IP-адресом 10.6.10.62 не "попадает" в указанные пределы. |
Артем Илющенко
| Россия, Мурманск, АНО ВПО «Московский Гуманитарно-Экономический Институт», 2011 |