Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

64
Глава 2 Организация работы изделия с сетями передачи данных
- принадлежащий БВМ физический сетевой интерфейс типа Ethernet с именем IntETH2;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH2;
- общий туннельный интерфейс типа TNL с именем TNL2.
10.1.1.0/24 192.168.2.0/24
1
2
1
2
TNL-
интерфейс
Идентиф. криптотуннеля ID = 48
10.1.1.1 -> 10.1.1.2 1001 4 -> 8 192.168.1.0/24 < - > 192.168.2.0/24 0
1
N
Ключи:
Серия
1001
Номер
4
0 1
M
10.1.1.1 192.168.1.1 192.168.1.0/24
2
1
0 1
N
Ключи:
Серия
1001
Номер
8
0 1
M
Оборудование
Пользователя 1
Оборудование
Пользователя 2
Криптотуннель ID = 48
10.1.1.2 192.168.2.1
ExtETH1
IntETH1
TNL1
ExtETH2
TNL2
IntETH2
п о р т ы Б В М
п о р т ы Б В М
п о р т ы Б Н М
п о р т ы Б Н М
Изделие
№ 1
Изделие
№ 2
Рис. 2.54 Логическая схема организации связи между изделиями при обмене IP-датаграммами на L3-уровне
Ниже приведены значения основных параметров, которые следует присвоить при создании и настройке перечисленных элементов.
Изделие № 1
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.1; внутренний – 192.168.1.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH1.
Локальный IP-адрес – 10.1.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Таблица маршрутов – не настраивать.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.

Глава 2 Организация работы изделия с сетями передачи данных 65
3. Сетевой физический интерфейс IntETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – внутренний.
Имя интерфейса – IntETH1.
Локальный IP-адрес – 192.168.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
4. Туннельный интерфейс TNL1 (см. разделы 2.4.2, с. 39 и 2.3.1, с. 25)
Тип – TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – TNL1.
Идентификатор туннеля – 48.
Локальный IP-адрес – 10.1.1.1.
Удаленный IP-адрес – 10.1.1.2.
Таблица маршрутов. Адрес – 192.168.2.0.
Значащих бит – 24.
Адрес шлюза – 0.0.0.0.
Метрика маршрута –0.
Метка –0.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –4.
Удаленный криптономер –8.
Номер ключевой зоны –0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
Примечание. Отметим, что при настройке физических интерфейсов параметру Максимальный
размер IP-датаграмм (MTU) внутреннего физического интерфейса IntETH2 присвоено значение 1500, а тому же параметру наружного интерфейса ExtETH2 присвоено значение
1600.
Разница в значениях максимальной длины Ethernet-кадров, отправляемых соответствующими
Ethernet-адаптерами в каналы связи, учитывает, что на наружном интерфейсе ExtETH2 длина

66
Глава 2 Организация работы изделия с сетями передачи данных
любого принятого из внутренней сети и подлежащего передаче в сеть общего пользования
Ethernet-кадра увеличивается на длину IP-заголовка транспортной IP-датаграммы, добавляемого к длине исходной IP-датаграммы. Заголовок транспортной IP-датаграммы включает: транспортный IP-заголовок длиной 20 байт, заголовок туннеля длиной 16 байт или более и, возможно, UDP-заголовок длиной 8 байт (подробнее см. раздел 3.1, Рис. 3.3, с. 74). Эта добавка к первоначальной длине принятого внутренним интерфейсом IntETH2 Ethernet-кадра может вызвать необходимость включения при работе наружного интерфейса ExtETH2 механизма фрагментации – передачи исходящего Ethernet-кадра интерфейсом ExtETH2 в виде
двух Ethernet-кадров, каждый из которых не превышает размер MTU для наружного интерфейса.
Во избежание этих накладных расходов значение параметра MTU наружного интерфейса
ExtETH2 увеличено до 1600.
Отметим также, что прежде чем устанавливать значение MTU, равное 1600, следует убедиться, что тракт во внешней сети пропускает Ethernet-кадры такой длины. Выполнить эту проверку можно путем выдачи на оконечное устройство проверяемого тракта команды PING с соответствующей длиной передаваемых этой командой данных.
Изделие № 2
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.2; внутренний – 192.168.2.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH2.
Локальный IP-адрес – 10.1.1.2/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс IntETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – внутренний.
Имя интерфейса – IntETH2.
Локальный IP-адрес – 192.168.2.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.

Глава 2 Организация работы изделия с сетями передачи данных 67
4. Туннельный интерфейс TNL2 (см. разделы 2.4.2, с. 39 и 2.3.1, с. 25)
Тип – TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – TNL2.
Идентификатор туннеля – 48.
Локальный IP-адрес – 10.1.1.2.
Удаленный IP-адрес – 10.1.1.1.
Таблица маршрутов. Адрес – 192.168.1.0.
Значащих бит – 24.
Адрес шлюза – 0.0.0.0.
Метрика маршрута –0.
Метка –0.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –8.
Удаленный криптономер –4.
Номер ключевой зоны –0.
Максимальный размер IP-датаграмм (MTU) – 1500.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
2.9.2.
Настройка изделий для обмена Ethernet-кадрами на L2-уровне
На Рис. 2.55 представлена логическая схема организации связи между Изделиями № 1 и № 2, поясняющая особенности настройки изделий для обеспечения обмена Ethernet-кадрами на L2-уровне. Изделия смонтированы согласно монтажной схеме, представленной на Рис. 2.53.
Чтобы схема (Рис. 2.55) заработала, на каждом из Изделий № 1 и № 2 следует выполнить:
- общие настройки обоих маршрутизаторов;
- на каждом из изделий создать и настроить необходимые для обмена Ethernet-кадрами на L2-уровне следующие сетевые интерфейсы и криптотуннели:
- в составе Изделия № 1:
- принадлежащий БВМ физический сетевой интерфейс типа L2–Eth с именем L2_ETH1;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH1;
- общий туннельный интерфейс типа L2–TNL с именем L2_TNL1;
- в составе Изделия № 2:
- принадлежащий БВМ физический сетевой интерфейс типа L2–Eth с именем L2_ETH2;
- принадлежащий БНМ физический сетевой интерфейс типа Ethernet с именем ExtETH2;
- общий туннельный интерфейс типа L2–TNL с именем L2_TNL2.

68
Глава 2 Организация работы изделия с сетями передачи данных
10.1.1.0/24 192.168.1.0/24
1
2
2
4
L2-TNL-
интерфейс
Идентиф. криптотуннеля ID = 57
10.1.1.1 -> 10.1.1.2 1001 5 -> 7 0
1
N
Ключи:
Серия
1001
Номер
5
0 1
M
10.1.1.1 192.168.1.1 192.168.1.0/24
3
1
0 1
N
Ключи:
Серия
1001
Номер
7
0 1
M
Оборудование
Пользователя 1
Оборудование
Пользователя 2
Криптотуннель ID = 57
10.1.1.2 192.168.1.2
ExtETH1
L2_TNL1
L2_TNL2
L2_ETH1
L2_ETH2
п о р т ы Б Н М
п о р т ы Б Н М
п о р т ы Б В М
п о р т ы Б В М
ExtETH2
Изделие
№ 1
Изделие
№ 2
Рис. 2.55 Логическая схема организации связи между изделиями при обмене Ethernet-кадрами на L2-уровне
Ниже приведены значения основных параметров, которые следует присвоить при создании и настройке перечисленных элементов технологии обработки трафика Ethernet-кадров на L2-уровне.
Изделие № 1
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.1; внутренний – 192.168.1.1 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH1 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH1.
Локальный IP-адрес – 10.1.1.1/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс L2_ETH1 (см. раздел 2.3.2, с. 33)
Тип – L2–Eth.
Принадлежность маршрутизатору – внутренний.
Имя L2-интерфейса – L2_ETH1.
Имя L2-туннеля – L2_TNL1.

Глава 2 Организация работы изделия с сетями передачи данных 69
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
4. Туннельный интерфейс L2_TNL1 (см. разделы 2.4.5, с. 49)
Тип – L2–TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – L2_TNL1.
Идентификатор туннеля – 57.
Локальный IP-адрес – 10.1.1.1.
Удаленный IP-адрес – 10.1.1.2 (формат ввода: адрес/бит; маршрутная таблица при этом серая).
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма – vМПМ.
Номер серии ключей –1001.
Локальный криптономер –5.
Удаленный криптономер –7.
Номер ключевой зоны –0.
Дополнительные параметры. Описание – произвольный текст.
Формат заголовка – TNL.
Метка туннеля – 0.
Контроль состояния – Нет.
Скорость передачи – 0.
Скорость приема – 0.
Изделие № 2
1. Общие параметры маршрутизаторов
Параметры TCP/IP (см. раздел 4.1.2, с. 130)
Собственный IP-адрес: наружный – 10.1.1.2; внутренний – 192.168.1.2 .
Время жизни IP-датаграмм (TTL) – 32.
Максимальный размер TCP-пакета (MSS) – 512.
Размер TCP-окна (Window) – 8192.
2. Сетевой физический интерфейс ExtETH2 (см. раздел 2.3.1, с. 25)
Тип – Ethernet.
Принадлежность маршрутизатору – наружный.
Имя интерфейса – ExtETH2.
Локальный IP-адрес – 10.1.1.2/24.
Удаленный IP-адрес – 0.0.0.0.
Максимальный размер IP-датаграмм (MTU) – 1600.
Дополнительные параметры. Номер порта – 0.
Интерфейс – автоопределение.
Режим работы – автоопределение.
Специальные настройки. Запретить обработку: – пакетов DHCP-протокола;
– пакетов RIP-протокола;
– Multicast-датаграмм;
– Cluster-пакетов.
3. Сетевой физический интерфейс L2_ETH2 (см. раздел 2.3.2, с. 33)
Тип – L2–Eth.
Принадлежность маршрутизатору – внутренний.
Имя L2-интерфейса – L2_ETH2.

70
Глава 2 Организация работы изделия с сетями передачи данных
Имя L2-туннеля – L2_TNL2.
Дополнительные параметры. Номер порта – 1.
Интерфейс – автоопределение.
Режим работы – автоопределение.
4. Туннельный интерфейс L2_TNL2 (см. разделы 2.4.5, с. 49)
Тип – L2–TNL.
Принадлежность маршрутизатору – общий.
Имя интерфейса – L2_TNL2.
Идентификатор туннеля – 57.
Локальный IP-адрес – 10.1.1.2 (формат ввода: адрес/бит; маршрутная таблица при этом серая).
Удаленный IP-адрес – 10.1.1.1.
Шифрование потока. Шифрование потока – ДА.
Версия криптоалгоритма –