tocdepth

2

Проверка корректности встраивания NGFW Usergate в VMware Cloud Director

Корректное выполнение подразумевает развертывание ВМ UserGate с выделением требуемого ресурсного пула, включая правильное назначение сетевых интерфейсов и их IP-адресации с возможностью выхода преднастроенной ВМ NGFW в интернет для последующей удаленной настройки. Если имеются проблемы с IP-связностью или подозрением на некорректное размещение сетевых интерфейсов ВМ, аутентифицируйтесь в своем теннанте VDC и выполните следующие действия:

  1. Проверьте состояние виртуальной машины в платформе гипервизора. Убедитесь в том, что она включена, а требуемый пул ресурсов выделен.

  2. Зайдите в свойства виртуальной машины UserGate и в разделе General → NICs проверьте правильность назначения сетевых сегментов на платформе гипервизора и самом UserGate. Обратите внимание, что на адаптере NIC0 устанавливается внешний IP-адрес.

  3. Сверьте отображаемые данные в веб-интерфейсе UserGate раздела Настройки → Сеть → Интерфейсы. Обратите внимание на совпадение МАС-адресов в платформе гипервизора и интерфейсах UserGate. Если возникла необходимость переназначения сетевых интерфейсов UserGate, необходимо штатно перевести ВМ в выключенное состояние. Измените настройки виртуальной машины UserGate, а затем включите ее, нажав Power ON.

  4. В случае недоступности веб-интерфейса Usergate, последовательно нажмите Launch Web Console и Launch Remote Console для получения доступа к виртуальной CLI VMware Cloud Director.

  5. В разделе Networking → Networks проверьте настройки сетевых сегментов на VMware Cloud Director. Обратите внимание на тип сети Network Type и корректность IP-адресации сетевого шлюза VMware Cloud Director в вашем VDC. При использовании сети типа Isolated использовать шлюзовые интерфейсы VMware Cloud Director запрещено, потому что функциональность маршрутизации настраивается на самом UserGate. Из-за особенностей VMware Cloud Director создавать подсети без назначения IP-адресации невозможно.

  6. В разделе Networking → Edges убедитесь в функционировании облачного шлюза платформы виртуализации.

  7. Войдите в настройки сетевого шлюза, нажмите Edit Rules и создайте правило вида Any-Any с действием Allow. Создание данного правила снимает ограничение на движение трафика внутри VMware Cloud Director, что рекомендуется в случае переноса всей маршрутизации с VMware Cloud Director строго на UserGate. Если используется гибридная модель межсетевого взаимодействия с одновременным применением маршрутизации в VMware Cloud Director и UserGate (например, NGFW установлен в разрыв), то в целях безопасности необходимо создать выделенные правила МСЭ, разрешающие доступ строго к UserGate.

  8. В разделе IP Management → IP Allocations убедитесь в назначении блока внешних IP-адресов для выхода в интернет. Используя CLI консоль UserGate выполните ICMP/Traceroute-запросы к интернет-шлюзу VMware Cloud Director, а затем к любому ресурсу в интернете. Положительный результат выполнения данных команд означает работоспособность выхода в интернет со стороны VMware Cloud Director.

Если в VMware Cloud Director ошибок не обнаружено и сетевые интересы UserGate назначены верно, обеспечивая базовую межсетевую связность, необходимо выполнить дополнительные шаги по поиску ошибок в настройке самого NGFW UserGate.

Запустили Evolution free tier
для Dev & Test
Получить