Bramka zabezpieczeń Virtual-Edition (SCG-VE): Jak zainstalować SCG w konfiguracji z dwiema kartami sieciowymi

Jeśli urządzenie Secure Connect Gateway Virtual Edition Appliance jest zainstalowane w strefie DMZ, czasami wymagane są dwa interfejsy sieciowe:

• Pierwszy interfejs (eth0) służy do "wewnętrznej" komunikacji z zarządzanymi urządzeniami (macierzami pamięci masowej, serwerami, urządzeniami), na przykład: "Zarządzanie" klientami LAN.
• Drugi interfejs (eth1) jest używany do komunikacji "zewnętrznej" z firmą Dell przez Internet lub komunikacji z opcjonalnym serwerem proxy HTTP w celu dalszego połączenia z firmą Dell przez Internet.

Routingu:
Ponieważ można skonfigurować tylko jedną "bramę domyślną" IP (router), mogą być wymagane trasy statyczne. Istnieją dwie opcje:
 

1. Skonfiguruj domyślny adres IP bramy tak, aby był routerem dostępnym w "wewnętrznej" sieci LAN (eth0). Wewnętrzne podsieci klienta są dostępne, a do bezpośredniego połączenia z infrastrukturą zaplecza firmy Dell przez Internet wymagane są statyczne trasy. Poniżej znajdują się przykłady.

2. Skonfiguruj domyślny adres IP bramy tak, aby był routerem dostępnym w "zewnętrznej" sieci LAN (eth1). Bezpośrednia łączność internetowa z systemami zaplecza firmy Dell będzie możliwa, ale do dotarcia do dodatkowych "wewnętrznych" podsieci mogą być potrzebne trasy statyczne.

Najlepiej wybrać opcję, która skutkuje najmniejszą liczbą tras statycznych.

Rozpoznawanie nazw:
Instancja SCG musi być w stanie rozpoznać nazwy serwerów zaplecza SCG w firmie Dell (nawet jeśli jest podłączona przy użyciu serwera proxy). Jeśli serwer DNS jest tylko wewnętrzny i nie może rozpoznawać domen zewnętrznych, dodaj nazwy hostów SCG i adresy IP do pliku /etc/hosts na maszynie wirtualnej SCG. Listę serwerów zaplecza w firmie Dell można znaleźć w sekcji "Secure Connect Gateway Virtual Edition User's Guide".

Procedura instalacji:

1. Wdróż obraz SCG-VE, OVF lub VHD zgodnie z "Secure Connect Gateway User's Guide".

• Dla VMware:
  W szablonie wdrażania skonfiguruj sieć dla sieci "wewnętrznej" (zarządzania).
  IP, maska podsieci, brama domyślna (jeśli wewnętrzna), DNS.
  Uruchom wdrożoną maszynę wirtualną.
   
• W przypadku funkcji Hyper-V:
  Uruchom maszynę wirtualną i skonfiguruj adres IP interfejsu sieciowego, maskę podsieci, bramę domyślną (jeśli jest wewnętrzna), DNS podczas pierwszego procesu rozruchu, zgodnie z "Podręcznikiem użytkownika bramy zabezpieczeń".
  Ukończ pracę pierwszego kreatora konfiguracji.

2. Wyłącz maszynę wirtualną(zaloguj się jako root i uruchom polecenie "shutdown -h now") 
3. Ręcznie dodaj drugi wirtualny interfejs sieciowy z poziomu aplikacji do zarządzania VMware lub Hyper-V.

• VMware: Zalecany typ interfejsu "VmxNet3"
• Hyper-V: Zalecany typ interfejsu "Karta sieciowa"

4. Uruchom maszynę wirtualną i zaloguj się do konsoli jako root.
5. Skonfiguruj drugi interfejs karty sieciowej:

• Wpisz polecenie "yast" i naciśnij Return, aby uruchomić narzędzie konfiguracji yast.

6. Wybierz opcję System > Network Settings i naciśnij Enter:
   
    
7. Przejdź do listy kart sieciowych i zaznacz nowo dodany (nieskonfigurowany) interfejs, a następnie przejdź do pozycji "Edytuj" i naciśnij Return.
   
   (Zrzut ekranu z wystąpienia funkcji Hyper-V).
8. Ustaw adres IP i maskę podsieci. Pozostaw nazwę hosta pustą.
   

• Przejdź TAB do opcji "Dalej" i naciśnij Return.
• Zaakceptuj komunikat "Naprawdę zostawić nazwę hosta pustą?" Monit:
  
  UWAGA: Nazwa hosta jest powiązana z interfejsem zarządzania (eth0) i nie jest wymagana dla interfejsu eth1.

9. Przejdź TAB do opcji górnego wiersza i strzałką w prawo do strony "Wyznaczanie trasy":
   
    
10. Dodaj lub zweryfikuj domyślną bramę IPv4
    
11. Przejdź TAB do pozycji "Dodaj" i naciśnij Return, aby dodać wymagane trasy statyczne:
    
    UWAGA: Przekazywanie adresów IP NIE powinno być włączone.

• Jeśli ustawisz bramę domyślną na router "wewnętrzny", dodaj trasy statyczne dla zaplecza SCG firmy Dell. Przykłady można znaleźć w sekcji "Dodatkowe informacje" poniżej.
• Jeśli ustawisz "Default Gateway" na "external" router, dodaj statyczne trasy dla wszystkich dodatkowych wewnętrznych podsieci zawierających urządzenia, które zostaną dodane do SCG.
   

12. Naciśnij TAB na "OK", aby zakończyć konfigurację sieci:
    
13. Przejdź do opcji "Zakończ" i naciśnij Return lub F9, aby zakończyć.
14. Teraz powinno być możliwe przejście do SCG WebUI na porcie 5700 i dokończenie rejestracji bramki.

Backend SCG Dell — przykłady tras statycznych:
Listę serwerów zaplecza w firmie Dell można znaleźć w sekcji "Secure Connect Gateway Virtual Edition User's Guide". Przywracając je do adresów IPv4, można utworzyć zestaw tras statycznych. Można je zaimplementować jako minimalny zestaw tras "klasy B" lub bardziej szczegółowy zestaw tras "klasy C".

Przykład wykorzystania tras klasy B:

128.221.0.0/255.255.0.0
137.69.0.0/255.255.0.0
152.62.0.0/255.255.0.0
168.159.0.0/255.255.0.0

Przykład użycia tras klasy C:

128.221.204.0/255.255.255.0
128.221.236.0/255.255.255.0
137.69.120.0/255.255.255.0
152.62.45.0/255.255.255.0
152.62.177.0/255.255.255.0
168.159.209.0/255.255.255.0
168.159.224.0/255.255.255.0