Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
С имеет значение 1); Reserved1 – поле не используется, должно быть значение 0; Key – идентификационные данные пакета (в данной версии ПО поле не заполняется); Sequence Number – порядковый номер датаграммы (заполняется если поле S имеет значение 1). Примечание. Производительность IP-маршрутизатора при использовании GRE-протокола может снизиться более чем вдвое за счет обработки маршрутизатором каждой IP-датаграммы дважды (повторная маршрутизация), а также за счет возможной фрагментации исходной IP-датаграммы (из-за увеличения общей длины туннелированной датаграммы, превышающей MTU физического интерфейса). Создание и настройка GRE-интерфейса. С целью создания GRE-интерфейса следует в меню выбора типа и принадлежности создаваемого интерфейса (см. Рис. 2.2, с. 23) выбрать альтернативу GRE, установить принадлежность создаваемого GRE-интерфейса (наружный или внутренний), после чего нажать клавишу GRE-интерфейса. Этот бланк отличается от похожего бланка создания и настройки TNL-интерфейса (Рис. 2.22, с. 39) отсутствием полей Идентификатор туннеля и Шифрование потока. Остальные поля бланков совпадают. Глава 2 Организация работы изделия с сетями передачи данных 45 Рис. 2.30 Бланк создания и настройки GRE-интерфейса Для GRE-интерфейсов перечисленные ниже поля бланка настройки заполняются так же, как аналогичные поля при создании и настройке физических Ethernet-интерфейсов (см. Рис. 2.4, раздел 2.3.1, с. 25): - Имя интерфейса; - Таблица маршрутов; - Максимальный размер IP-датаграмм (MTU); - Фильтрывходящих, Фильтрыисходящих; - Специальные настройки. Остальные поля бланка создания и настройки GRE-интерфейса (Рис. 2.30) заполняются с учетом приведенных ниже сведений. Локальный IP-адрес - задает IP-адрес того сетевого интерфейса (поле Source Address в транспортном IP- заголовке – см. раздел 3.1, с. 73), который является локальным отправителем исходящего и получателем входящего туннелированного трафика для данного GRE-интерфейса. Удаленный IP-адрес – задает IP-адрес того сетевого интерфейса (поле Destination Address в транспортном IP- заголовке – см. раздел 3.1, с. 73), который является удаленным получателем исходящего и отправителем входящего туннелированного трафика для данного GRE-интерфейса. Дополнительные параметры (Рис. 2.30) – при выборе поля на видеомонитор ЛКУ будет выдан представленный на Рис. 2.31 бланк настройки, с помощью которого следует настроить три группы значений дополнительных параметров GRE-туннеля. Рис. 2.31 Бланк настройки дополнительных параметров GRE-туннеля 1. Группа параметров Режимы формирования заголовков туннеля (Рис. 2.31). Значения параметров этой группы влияют на подготовку к передаче в GRE-туннель IP-датаграммы, формируемой на основе исходной IP-датаграммы. Нумерация пакетов – параметр может принимать значения Да или Нет, которые определяют, будет ли производиться нумерация исходящих пакетов GRE-туннеля. Если параметру будет присвоено значение Да, то запускается механизм нумерации, вследствие чего: в GRE-заголовок (см. Рис. 2.29) устанавливается флаг S, а в поле Sequence Number записывается порядковый номер пакета (при этом длина заголовка исходящего пакета увеличивается на 4 байта). Примечание. Порядок следования пакетов важен при работе некоторых приложений Пользователя (например, в IP-телефонии). В таких случаях на приемном конце GRE-туннеля должна быть восстановлена исходная последовательность пакетов. Этой цели служат параметры второй группы дополнительных параметров GRE-туннеля Восстановление последовательности пакетов (Рис. 2.31) – см. ниже. Контрольная сумм а – параметр может принимать значения Да или Нет, которые определяют, будет ли производиться контрольное суммирование исходящих пакетов GRE-туннеля. Если параметру будет присвоено значение Да, то запускается механизм контрольного суммирования, вследствие чего: в GRE- заголовок (см. Рис. 2.29) устанавливается флаг С, включается механизм проверки контрольных сумм входящих пакетов GRE-туннеля, а также включается механизм расчета контрольных сумм исходящих пакетов GRE-туннеля и их записи в поле Checksum GRE-заголовка (при этом длина заголовка исходящего пакета увеличивается на 4 байта). Поле TOS – параметр может принимать значения: копировать или установить: - при значении параметра копировать в поле Type of Service транспортного IP-заголовка датаграммы (Рис. 2.28, с. 43) будет копироваться значение поля ToS из исходной IP-датаграммы; 46 Глава 2 Организация работы изделия с сетями передачи данных - при значении параметра установить в поле Type of Service транспортного IP-заголовка датаграммы заносится то число (в шестнадцатеричном формате), которое указано в параметре значение (HEX) бланка (см. Рис. 2.31). Флаг DF – параметр может принимать значения: копировать, установить, сбросить: - при значении параметра копировать значение поля Flags транспортного заголовка формируемой для отправки в GRE-туннель IP-датаграммы будет скопировано из IP-заголовка исходной IP-датаграммы; - при значении параметра установить полю Flags транспортного заголовка формируемой IP- датаграммы будет присвоено значение 1; - при значении параметра сброситьполю Flags будет присвоено значение 0. 2. Группа параметров Восстановление последовательности пакетов (Рис. 2.31). Значения параметров этой группы влияют на организацию процесса приема IP-датаграмм из GRE-туннеля. Параметры этой группы позволяют включить механизм восстановления порядка следования принимаемых из GRE-туннеля входящих IP-датагармм – GRE-пакетов. Восстановление нарушенного порядка следования возможно при выполнении двух условий: - пакеты при отправке в GRE-туннель были пронумерованы; - значения обоих параметров этой группы – Размер буфера и Максимальная задержка пакетов – отличны от нуля. Процесс восстановления порядка следования принимаемых из GRE-туннеля IP-датаграмм иллюстрирует Рис. 2.32. GRE-интерфейс 1 3 4 2 5 Рис. 2.32 Иллюстрация работы механизма восстановления порядка следования принимаемых GRE-пакетов Пакеты 3 и 4, пришедшие раньше пакета 2, отправляются в буфер, задерживаются там до прихода пакета 2 и вставляются в поток поступивших пакетов после пакета 2. Размер буфера – параметр задает размер приемного буфера, определяемый числом GRE-пакетов, которое этот буфер сможет принять без переполнения. Параметр определяет глубину смешивания (в единицах пакетов), т.е. то отставание, при котором порядок следования входящих пакетов (принимаемых из GRE-туннеля) еще может быть восстановлен. Параметр подбирается эмпирическим путем. В приведенном примере (Рис. 2.32) значение параметра Размер буфера должно быть не меньше 2. Максимальная задержка пакетов – параметр задает допустимое время (в миллисекундах) пребывания пакета в приемном буфере. По истечении указанного параметром времени даже в случае, когда запаздывающий пакет не появился, ожидающие его пакеты будут переданы на дальнейшую обработку из GRE-туннеля. 3. Настройка группы параметров Контроль состояния туннеля (Рис. 2.31). Параметры этой группы настраивают режим работы механизма автоматического самоконтроля состояния GRE-туннеля – KEEPALIVE. Интервал отправки запросов – параметр задает интервал (в секундах) отправки контрольных зондирующих пакетов в GRE-туннель. Максимальное время ожидания ответов – параметр задает допустимое время (в секундах) ожидания ответа. Это время должно превышать интервал отправки запросов (обычно в 2-3 раза). Отправка контрольного пакета и получение ответа за заданное параметрами время свидетельствует о том, что GRE-туннель активен, иначе – нет. При нулевом значении параметров контроль состояния туннеля не производится, и он считается всегда активным. «Туннель активен» – это означает, что в общей таблице маршрутов изделия присутствует маршрут этого GRE-туннеля. Замечание. Имена интерфейсов в списке сетевых интерфейсов (см. Рис. 2.39, с. 52) и в окне оперативного контроля состояния интерфейсов (см. Рис. 2.47, с. 56) выводятся разными цветами (см. раздел 2.6, с. 52) в зависимости от того, установлен или не установлен режим автоматического самоконтроля состояния интерфейса. 2.4.4. L2 –VLAN-интерфейсы В случае применения изделия в качестве средства организации L2-криптомостов полезным и эффективным может оказаться применение поддерживаемых изделием виртуальных L2–VLAN-интерфейсов (подробнее см. раздел Приложение В , с. 230). Глава 2 Организация работы изделия с сетями передачи данных 47 2.4.4.1. Общие сведения Как отмечалось выше (см. раздел 2.4, с. 36), L2–VLAN-интерфейсы относятся к разряду сетевых виртуальных интерфейсов, связанных с сетевыми физическими интерфейсами типа L2–Eth (см. раздел 2.3.2, с. 33) как с базовыми. Самостоятельное применение L2–VLAN-интерфейсов, как любых других виртуальных интерфейсов, невозможно, т.к. они не могут напрямую управлять работой Ethernet-адаптеров, осуществляющих непосредственное взаимодействие с каналами связи на физическом и канальном уровнях. Из поступающего на вход физического L2–Eth-интерфейса потока тегированных Ethernet-кадров (подробнее см. раздел 2.4.1.1, с. 36) выбираются кадры с тегом L2–VLAN-интерфейса и передаются ему на вход. L2–VLAN- интерфейс без обработки передает выбранные Ethernet-кадры связанному с ним L2–TNL-интерфейсу. По тракту обработки криптотуннеля, образованного с помощью L2–TNL-интерфейса (см. раздел 2.4.5, с. 49), Ethernet-кадры попадают на БНМ удаленного изделия, извлекаются из криптотуннеля и в исходном виде передаются на интерфейс, связанный с L2–TNL-интерфейсом на приемной стороне, по которому и будут доставлены получателю. Поэтому L2–VLAN-интерфейсы являются одним из средств организации L2-криптомостов при необходимости применения изделия для обеспечения удаленного защищенного обмена на L2-уровне по нескольким направлениям между сегментами ЛВС Пользователя, использующими для разграничения трафика Ethernet- кадров технологию VLAN. Примечание. Необходимые сведения о работе технологии VLAN приведены в разделе 2.4.1, с. 36 настоящего РНУ. L2–VLAN-интерфейс применяется для организации функционирования L2-криптомостов только в связке с базовым физическим L2–Eth-интерфейсом и с L2–TNL-интерфейсом, обеспечивающим криптозащиту передаваемого между сегментами VLAN-сети трафика Ethernet-кадров. 2.4.4.2. Создание и настройка L2–VLAN-интерфейса. Для создания L2–VLAN-интерфейса следует в меню выбора типа и принадлежности создаваемого интерфейса (см. Рис. 2.2, с. 23) установить курсор на альтернативу L2–VLAN, параметру, определяющему принадлежность интерфейса, установить значение внутренний и нажать клавишу Рис. 2.33 Бланк создания и настройки L2–VLAN-интерфейса Привязка L2–VLAN-интерфейса к другим интерфейсам технологической цепочки, реализующей выполнение функции L2-криптомоста, выполняется при настройке L2–VLAN-интерфейса установкой значений следующих параметров (Рис. 2.33): - для связи с физическими L2–Eth-интерфейсами – через значение параметра Базовый L2-интерфейс; - для связи с виртуальным L2–TNL-интерфейсами – через значение параметра Имя L2-туннеля. Имя L2-VLAN интерфейса (Рис. 2.33) – имя сетевого L2–VLAN-интерфейса; значением параметра может быть до 7-ми любых символов, идентифицирующих интерфейс. VLAN-идентификатор (Рис. 2.33) – целое десятичное число в диапазоне от 0 до 4095, идентификатор VLAN-сети (VNID), значение которого задает администратор (с помощью параметра VLAN-идентификатор L2–VLAN-интерфейсу присваивается уникальное значение тега). Тегированные Ethernet-кадры будут извлекаться из общего потока Ethernet-кадров, поступающих в базовый физический L2–Eth-интерфейс, и передаваться на обработку тому из группы L2–VLAN-интерфейсов, связанных с базовым интерфейсом, тег которого совпадает с тегом Ethernet-кадра. Базовый L2-интерфейс (Рис. 2.33) – при выборе альтернативы на видеомонитор ЛКУ будет выдан список физических L2-интерфейсов внутреннего маршрутизатора, аналогичный представленному на Рис. 2.34. 48 Глава 2 Организация работы изделия с сетями передачи данных Рис. 2.34 Список физических L2-интерфейсов внутреннего маршрутизатора В этом списке следует установить курсор на описатель того интерфейса, к которому как к базовому будет привязан создаваемый L2-VLAN-интерфейс, и нажать клавишу Имя L2-туннеля (Рис. 2.33) – имя сетевого виртуального интерфейса типа L2–TNL – логического туннельного интерфейса L2-уровня (подробнее см. раздел Приложение В , с. 230); значением параметра могут быть до 7-ми любых символов, идентифицирующих туннельный интерфейс L2-уровня. Имя должно быть уникальным. L3 (Рис. 2.33) – параметру можно присвоить значения Да или Нет (установить курсор на поле L3 и последовательно нажимать клавишу L2–VLAN-интерфейсом задействован механизм информационного взаимодействия со службами (сервисами) изделия на L3-уровне. При значении параметра Да службы (сервисы) изделия выполняют обработку трафика IP-датаграмм, адресованных им устройствами в составе ЛВС Пользователя (аналогичный механизм для физического L2–Eth-интерфейса подробно рассмотрен в разделе Приложение В , с. 230). L3-параметры (Рис. 2.33) – при выборе этого поля на видеомонитор ЛКУ выдается бланк настройки параметров маршрутизации L2–VLAN-интерфейса, аналогичный представленному на Рис. 2.35. Рис. 2.35 Бланк настройки параметров маршрутизации L2–VLAN-интерфейса для обработки трафика на L3-уровне Назначение параметров и процедуры настройки всех полей бланка, представленного на Рис. 2.35, рассматривались ранее при описании аналогичных полей бланка создания и настройки физического интерфейса типа Ethernet, представленного на Рис. 2.4, с. 25. Настройку параметров маршрутизации L2–VLAN-интерфейса с помощью бланка настройки, представленного на Рис. 2.35, следует выполнять в соответствии с рекомендациями, приведенными при описании процедур настройки аналогичных параметров при создании и настройке физического интерфейса типа Ethernet (см. раздел 2.3.1, с. 25). По завершении процесса настройки с помощью этого бланка L2–VLAN-интерфейс приобретает все атрибуты маршрутизации, необходимые интерфейсу для обеспечения обработки частипроходящего через него входящего трафика на L3-уровне (аналогичный механизм для физического L2–Eth-интерфейса подробно рассмотрен в разделе Приложение В , с. 230). Слияние (Рис. 2.33) – параметр позволяет задать наличие/отсутствие реализации L2–VLAN-интерфейсом алгоритма фрагментирования-слияния Ethernet-кадров, поступающих из сети на порт Ethernet-адаптера того физического L2–Eth-интерфейса, который является базовым для настраиваемого L2–VLAN-интерфейса. Если установить курсор на альтернативу и последовательно нажимать клавишу ПРОГР.− будет применен алгоритм, реализованный на программном уровне. Глава 2 Организация работы изделия с сетями передачи данных 49 Параметры (Рис. 2.33) – при выборе этого поля и при значении параметра Слияние ПРОГР. появляется бланк настройки параметров работы алгоритма фрагментирования-слияния Ethernet-кадров на программном уровне, аналогичный представленному на Рис. 2.36. Рис. 2.36 Бланк настройки параметров работы алгоритма слияния Ethernet-кадров L2–VLAN-интерфейсом Настройка параметров бланка, представленного на Рис. 2.36, выполняется согласно рекомендациям, приведенным при описании настройки аналогичных параметров L2–Eth-интерфейса (см. раздел 2.3.2, Рис. 2.18, с. 35). 2.4.5. L2 –TNL-интерфейсы Общие сведения. В рамках технологии DioNIS® администратору предоставлена возможность применения нескольких видов криптотуннелей, создаваемых с помощью разных инструментов (подробнее о видах криптотуннелей и способах их организации см. раздел 3.1, с. 73). L2–TNL-интерфейсы являются инструментом, применяемым в изделиях нового поколения в качестве инструмента для передачи Ethernet-кадров между БВМ и БНМ изделия через его шифратор. Самостоятельное применение L2–TNL-интерфейсов, как любых других виртуальных интерфейсов, невозможно, т.к. они не могут напрямую управлять работой портов Ethernet-адаптеров, поэтому L2–TNL-интерфейсы применяются только в связке с базовыми физическими L2–Eth-интерфейсами. С помощью L2–TNL- интерфейсов осуществляется функционирование защищенного bridge-соединения для передачи между удаленными сегментами ЛВС Пользователя трафика Ethernet-кадров – L2-криптомоста. При этом защищенное взаимодействие удаленных сегментов ЛВС Пользователя на L2-уровне обеспечивается так, как если бы эти сегменты ЛВС были бы соединены простым Ethernet-кабелем. При необходимости организации с помощью изделия нескольких L2-криптомостов по разным направлениям обмена L2–TNL-интерфейсы применяются в связке не только с физическими L2–Eth-интерфейсами, но и с виртуальными L2–VLAN-интерфейсами. Возможны два варианта применения изделиями L2–TNL-интерфейса для организации защищенного обмена через сети общего пользования: - для организации L2-криптомоста между сегментами ЛВС Пользователя на одном направлении обмена – в связке с базовыми физическими L2–Eth-интерфейсами; - для организации необходимого количества L2-криптомостов между сегментами ЛВС Пользователя на нескольких направлениях обмена − в связке с базовыми физическими L2–Eth-интерфейсами и виртуальными L2–VLAN-интерфейсами. Подробнее об организации функционирования L2-криптомостов между сегментами ЛВС Пользователя на L2-уровне см. раздел |