Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

60
Глава 2 Организация работы изделия с сетями передачи данных
Резервные маршруты при этом следует связать с разными PING-пробами, присвоив им разные
метки. В результате рассмотренный механизм PING-проб при правильно организованной таблице маршрутизации и отлаженном наборе записей PING-проб обеспечит автоматический переход на передачу трафика по резервным направлениям в случае отказа основных направлений передачи.
Таким образом, таблицы маршрутизации маршрутизаторов изделия остаются
статическими
(сопровождаемыми администратором вручную), но с помощью организованного администратором набора записей PING-проб в работу изделия вносится элемент динамической настройки функционирования алгоритма маршрутизации в зависимости от реального состояния окружающей изделие среды передачи данных. Если программа управления изделием получает (путем контроля за состоянием удаленных сетевых IP-ресурсов с помощью механизма PING-проб) информацию о том, что основное направление передачи данных стало неработоспособным, то для дальнейшей передачи трафика автоматически будут использованы альтернативные
(резервные) направления (согласно приоритетам имеющихся альтернативных маршрутов); когда основное направление передачи данных будет восстановлено, функционирование изделия вернется к исходному варианту и передача данных возобновится по основному тракту.
2.7.3.
Автоматизация управления активностью туннелей
Процесс динамического управления активностью туннелей изделия реализуется на тех же принципах работы средств контроля, что и процесс автоматизации управления маршрутизацией: изделие формирует PING- запросы, через заданные промежутки времени направляемые в адреса удаленных устройств, указанные при настройке PING-проб.
Пока на регулярно выдаваемые механизмом PING-проб запросы приходит ответ в течение заданного времени ожидания (успешная PING-проба), туннели, имеющие соответствующие метки (привязанные к успешной
PING-пробе), остаются активными.
Если результат PING-пробы окажется неудачным, все туннели, имеющие соответствующие метки, привязанные к неуспешной PING-пробе, станут неактивными.
Посылка PING-проб в этом случае регулярно продолжается, и, если удаленное устройство в итоге ответит, туннели станут снова активными.
2.7.4.
Автоматизация контроля работоспособности физических интерфейсов
Важной характеристикой каждого физического интерфейса маршрутизатора (БНМ или БВМ) является наличие или отсутствие несущей в физическом канале связи с коммуникационным оборудованием сети. Но наличие несущей является лишь необходимым, но не достаточным условием для оценки работоспособности сетевого интерфейса.
Единственным способом убедиться в том, что физический интерфейс изделия (Ethernet-интерфейс или
L2-Eth-интерфейс при условии, что на нем разрешен L3-уровень) работоспособен, является посылка PING-проб в адрес ближайшего стационарного узла в сети (часто это ближайший шлюз).
Процесс PING-проб запускается, как только в бланк создания и настройки физического интерфейса (см. Рис.
2.4, с. 25 или Рис. 2.17, с. 35) в поле Удаленный IP-адрес интерфейса будет занесено значение IP-адреса, отличное от значения 0.0.0.0 (IP-адрес устройства в сети, которое с высокой вероятностью находится в работе, обычно – IP-адрес ближайшего к изделию шлюза) и будет выполнена запись параметров обновленного конфигуратора в БпО.
По результатам тестирования (анализа результатов PING-проб) программа управления принимает решение, находится интерфейс в рабочем состоянии или нет.
Если в заданное время ожидания результатов PING-пробы не придет хотя бы один PING-ответ, интерфейс деактивизируется, программа управления считает его неактивным и выполняет следующие действия:
- из маршрутной таблицы интерфейса удаляются все косвенные маршруты этого интерфейса
(о косвенных маршрутах см. раздел 2.3.1, с. 25 и раздел
Приложение А
, с. 214);
- в списке интерфейсов (портов) цвет строки, отображающей интерфейс, изменяется на серый (см. раздел
2.6, с. 52);
- заносит соответствующую запись в журнал.
Регулярная посылка зондирующих пакетов PING-проб продолжается по-прежнему, и, если удаленное устройство в итоге ответит, обмен данными будет восстановлен в первоначальном варианте.
2.8.
Поддержка MULTICAST-адресации
При использовании internet/intranet-технологий возможно применение следующих трех известных способов IP-адресации.
Примечание. Каждый IP-адрес пакета, подлежащего доставке, состоит из двух частей: номера
сети и номера узла в этой сети. В зависимости от количества бит, используемых для

Глава 2 Организация работы изделия с сетями передачи данных 61
представления номера сети и номера узла в этой сети, различают 5 классов сетей – A, B, C, D, E
(подробнее об адресации в IP-сетях см. раздел
Приложение А
, с. 214).
1. UNICAST-адресация. В этом случае отправитель указывает точный IP-адрес абонента-получателя, и датаграмма доставляется единственному адресату.
2. BROADCAST-адресация. В этом случае отправитель формирует IP-адрес пакета в специальной
широковещательной форме, которая означает, что датаграмма предназначена всем абонентам сети, адрес которой указан в адресе отправляемого IP-пакета.
Для формирования broadcast-посылки вся пользовательская часть IP-адреса (часть, отведенная под адрес
узла) заполняется двоичными единицами. Например, IP-адреса broadcast-пакетов, отправляемых в сети классов А, B и С будут выглядеть следующим образом:
<адрес сети>.255.255.255 – в broadcast-посылке для сети класса A;
<адрес сети>.255.255 – в broadcast-посылке для сети класса B;
<адрес сети>.255 – в broadcast-посылке для сети класса C.
3. MULTICAST-адресация. Позволяет адресовать датаграммы некоторой группе абонентов (MULTICAST- группе). Абоненты этой группы могут находиться как в одной, так и в разных IP-сетях. Если какая-либо станция, входящая в MULTICAST-группу, намерена послать информацию членам группы, она должна задать в качестве IP-адреса получателя датаграммы групповой адрес.
Для целей MULTICAST-адресации IP-адреса отправляемых пакетов формируются по правилам адресации в сетях класса D, т. е. старшие биты IP-адресов имеют значение 1110 (младший бит старшей тетрады IP-адреса равен 0, все остальные биты старшей тетрады равны 1).
Поэтому диапазон IP-адресов для адресации устройств, работающих в составе сетей класса D, выглядит следующим образом: 224.0.0.0 - 239.255.255.255.
При этом в диапазоне адресов сетей класса D:
 адрес 224.0.0.0 – не используется;
 адрес 224.0.0.1 – присвоен всем хостам и маршрутизаторам подсети;
 адрес 224.0.0.2 – присвоен всем маршрутизаторам подсети.
Часть оставшихся адресов диапазона отдана в распоряжение организации IANA (Internet Assigned Numbers
Authority). IANA присваивает имеющиеся в ее распоряжении адреса конкретным группам. Получить список этих групп (и присвоенных им адресов) можно по следующему адресу в Internet-сети:
URL = http://www.iana.org/assignments/multicast-addresses
Все остальные адреса из диапазона адресов класса D может брать любая станция и использовать их для организации локальных MULTICAST-групп. Локальные группы не требуют регистрации и не видны устройствам сети, не входящим в эти группы.
2.8.1.
Реализация MULTICAST-адресации
Реализуется MULTICAST-адресация следующим образом.
Каждая рабочая станция (хост) выбирает групповой адрес и, выходя на связь, объявляет в своей локальной сети, что она намерена работать в составе MULTICAST-группы с этим адресом. Группа может быть новой или уже существующей. Ближайший к станции маршрутизатор получает эту информацию и сообщает всем о появлении хоста (станции) в группе.
Схема взаимодействия устройств в сети при организации работы с MULTICAST-адресацией приведена на Рис. 2.51.
Для обмена информацией о принадлежности к
MULTICAST-группe между маршрутизатором и рабочими станциями используется специальный протокол
IGMP (Internet Group Management Protocol).
Рис. 2.51 Схема организации
MULTICAST-адресации
Информация между маршрутизаторами передается с помощью специальных
протоколов
MULTICAST-маршрутизации.
С помощью
IGMP-протокола хост может объявить о выходе из группы, т. е. членство в группе динамическое. Каждый хост должен регулярно (и достаточно часто) подтверждать свое участие в группе.
Каждый маршрутизатор, начиная работу, не знает ни об одной группе. Информацию о группах он получает от соседних маршрутизаторов в соответствии с протоколами MULTICAST-маршрутизации и от своих рабочих станций, периодически посылая соответствующие запросы.

62
Глава 2 Организация работы изделия с сетями передачи данных
2.8.2.
Настройка изделия для работы с MULTICAST-группами
При организации MULTICAST-адресации блоки маршрутизации (каждый в своем сегменте):
- принимают от рабочих станций своего сегмента по протоколу IGMP запросы на участие в
MULTICAST-группах и ведут у себя список этих групп;
- обеспечивают маршрутизацию MULTICAST-датаграмм: прием исходящих MULTICAST-датаграмм от рабочих станций своего сегмента, входящих в MULTICAST-группы, и передачу их другим известным маршрутизатору абонентам MULTICAST-групп.
Обработка IGMP-протокола и работа с MULTICAST-группами выполняется изделием только в том случае, если специальными настройками интерфейса разрешена обработка MULTICAST-датаграмм этими интерфейсами
(подробнее о специальных настройках см. раздел 2.5, с. 50).
Настройка блока маршрутизации для обеспечения обработки проходящего через интерфейс трафика, включающего пакеты с адресацией MULTICAST-группам, выполняется при конфигурировании интерфейсов изделия (см. раздел 2.3.1, с. 25).
В бланке создания и настройки интерфейса при выборе альтернативы Специальные настройки на видеомонитор ЛКУ будет выдан представленный на Рис. 2.52 бланк управления специальными настройками интерфейса – копия аналогичного бланка, представленного на Рис. 2.8 (с. 28).
В этом бланке следует параметру Запретить обработку: Multicast-датаграмм присвоить значение
Нет
, убрав в бланке символ «*» (звездочка) справа от названия параметра.
Значения всех остальных параметров бланка должны быть заданы по общим правилам конфигурирования интерфейсов.
Рис. 2.52 Бланк управления специальными настройками интерфейса
Если в составе блока маршрутизации определен хотя бы один физический интерфейс с разрешенной обработкой
MULTICAST-датаграмм (MULTICAST-интерфейс), работа блока маршрутизации с MULTICAST-датаграммами происходит следующим образом.
1. Для MULTICAST-интерфейса обрабатываются пакеты IGMP-протокола и формируются списки
MULTICAST-групп.
2. С момента регистрации каждой MULTICAST-группы интерфейс начинает принимать датаграммы с соответствующими MULTICAST-адресами.
3. Все полученные MULTICAST-датаграммы автоматически передаются во все другие MULTICAST- интерфейсы, для которых есть регистрация тех же MULTICAST-групп.
4. Передача MULTICAST-датаграмм во внешние интерфейсы (не MULTICAST-интерфейсы) изделия возможна в том случае, если выполнено в составе изделия определены туннели, содержащие правила отбора, для которых в качестве адресов получателя заданы MULTICAST-адреса
В процессе работы блока маршрутизации для каждого интерфейса можно оперативно получить информацию о состоянии его IGMP-таблицы. Для этого необходимо выбрать цепочку альтернатив ГМ: Диагностика 
Интерфейсы  Активные (см. раздел 9.2.2, с. 189), после чего в появившемся списке активных интерфейсов изделия (см. Рис. 9.5, с. 189) установить курсор на описание интересующего интерфейса и нажать комбинацию клавиш .
Примечание. Подробное описание протокола IGMP приведено в документе RFC 2236.
2.9.
Примеры настройки изделий
Рассмотрим примеры настройки изделий, обеспечивающих защищенный обмен данными между двумя удаленными сегментами ЛВС Пользователя.
На Рис. 2.53 приведен пример простой монтажной схемы организации защищенной связи между двумя удаленными сегментами ЛВС Пользователя.

Глава 2 Организация работы изделия с сетями передачи данных 63
Изделие
№ 2
Рабочая станция
№ 1
Рабочая станция
№ 2
Изделие
№ 1
ЛВС № 1 192.168.1.0/24
ЛВС № 2 192.168.2.0/24
Сеть общего пользования
10.1.1.0/24
.2
.2
Криптотуннель
.1
.2 порт 0 БНМ
порт 0 БНМ
.1
.1
порт 1 БВМ
порт 1 БВМ
ID
Рис. 2.53 Монтажная схема организации защищенного обмена между двумя сегментами ЛВС Пользователя
Согласно схеме защиту передаваемого между сегментами ЛВС трафика осуществляют два изделия Изделие № 1 и Изделие № 2.
Тракт передачи данных между изделиями через сеть общего пользования (адрес подсети: 10.1.1.0/24) имитируют Ethernet-кабели, подключаемые через коммутатор к разъемам Ethernet-адаптеров БНМ соответствующего изделия. Порты БНМ изделий, к которым подключены кабели, промаркированы как порты с номером 0 на обоих изделиях.
Адрес наружного интерфейса Изделия № 1 в сети общего пользования: 10.1.1.1.
Адрес наружного интерфейса Изделия № 2 в сети общего пользования: 10.1.1.2.
Между наружными интерфейсами изделий организован криптотуннель с идентификатором ID.
В Изделия № 1 и № 2 загружены соответствующие ключевые документы с номером серии 1001.
К каждому из БВМ изделий № 1 и № 2 подключены соответственно ЛВС № 1 и № 2, в составе которых имеются рабочие станции (далее – РС) № 1 и № 2. Для подключения ЛВС на каждом из БВМ изделий использованы порты Ethernet-адаптеров с номером 1.
К Изделию № 1 подключена ЛВС № 1, адрес которой: 192.168.1.0/24. Адрес внутреннего интерфейса
Изделия № 1 (порт 1) в ЛВС: 192.168.1.1, адрес рабочей станции: 192.168.1.2.
К Изделию № 2 подключена ЛВС № 2, адрес которой: 192.168.2.0/24. Адрес внутреннего интерфейса
Изделия № 2 (порт 1) в ЛВС: 192.168.2.1, адрес рабочей станции: 192.168.2.2.
С помощью представленного на монтажной схеме оборудования между рабочими станциями сегментов ЛВС
Пользователя может быть организован режим обмена как IP-датаграммами на L3-уровне, так и Ethernet-
кадрами на L2-уровне.
Для организации того или иного режима обмена должны быть выполнены соответствующие настройки Изделий
№ 1 и № 2; примеры настроек приведены в последующих разделах (2.9.1 и 2.9.2).
В разделе 2.9.1 приведен пример настройки изделий для организации обмена IP-датаграммами на L3-уровне.
В разделе 2.9.2 приведен пример настройки изделий для организации обмена Ethernet-кадрами на L2-уровне.
2.9.1.