(!) Описание функции Allow Asymmetrical Route в аппаратных шлюзах серии ZyWALL USG

Для чего предназначена функция Allow Asymmetrical Route в аппаратных шлюзах серии ZyWALL USG?

Аппаратный шлюз ZyWALL USG позволяет использовать "треугольные" топологии сетевых маршрутов (асимметричные маршруты). Если резервный шлюз в локальной сети имеет IP-адрес из той же подсети, что и LAN IP-адрес ZyWALL, обратный трафик (например, ответы в рамках одной TCP/IP-сессии) не будет проходить через ZyWALL. Это называется асимметричным или "треугольным" маршрутом (Asymmetrical Route или Triangle Route). Аппаратный шлюз будет сбрасывать соединение.
Рассмотрим вариант резервирования подключения через шлюз, расположенный в локальной подсети с ZyWALL USG (IP-адрес резервного шлюза из той же подсети).
В идеальном варианте весь исходящий трафик из LAN и WAN проходит через ZyWALL, следовательно, происходит и отслеживание состояний открытости соединений и их установлений.
Если мы используем резервный шлюз, то ZyWALL, получив запрос на соединение, перенаправит его на запасной шлюз и внесет соответствующую запись в свой журнал. После прихода ответа на запасной шлюз на подтверждение соединения этот ответ будет отправлен запрашивающему хосту, минуя ZyWALL (на 2-м уровне по ARP-записи). Таким образом, через ZyWALL не будут проходить ответные пакеты в рамках одной сессии, и ZyWALL разорвет соединение путем посылки соответствующего пакета, посчитав эту сессию полуоткрытой и зависшей.

Решить эту проблему можно тремя способами.

Способ 1. Использование псевдонимов IP (IP Alias). ZyWALL поддерживает до трех логических сетей, подключенных к локальному порту. Необходимо IP-адрес запасного шлюза назначить из другой подсети (не из той, которую используют хосты локальной сети) и назначить IP Alias в ZyWALL. С помощью функции IP Alias локальная сеть разделяется на две или три логических сети (сегмента), где основной шлюз является шлюзом для каждой логической локальной сети.

Способ 2. Все шлюзы необходимо подключить на WAN-стороне ZyWALL.

Способ 3. Включить в аппаратном шлюзе ZyWALL USG функцию Allow Asymmetrical Route (Разрешить использование асимметричных маршрутов) в настройках межсетевого экрана Firewall, что позволит не обрабатывать трафик с помощью функции Firewall на направлениях: LAN-LAN, WAN-WAN, DMZ-DMZ, WLAN-WLAN, VPN-VPN.

Внимание! Использование асимметричных маршрутов позволяет пропускать трафик из WAN непосредственно к локальной сети (LAN), минуя ZyWALL. Лучшим решением, при использовании треугольной топологии сетевых маршрутов, является использование псевдонимов IP Alias (Способ 1) или размещение резервных шлюзов на WAN-стороне ZyWALL.
Использование Способа 3 (включение
Allow Asymmetrical Route) - вынужденная мера, понижающая уровень безопасности локальной сети.

KB-2632

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0