Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Метка – метка статического туннеля. Сразу после создания туннель готов к работе, цвет соответствующей строки описателя – черный (туннель помечается как рабочий). Статический туннель готов к работе сразу после создания, цвет соответствующей строки описателя – черный (туннель помечен как рабочий). Если туннель помечен (см. ниже) как не обрабатываемый (выключенный), цвет строки – зеленый. Если туннель заблокирован (см. ниже), цвет соответствующей строки – красный. Формат вывода параметров туннеля может быть таким, как представлено на Рис. 3.5, а может быть изменен с помощью команды Alt+F1 – сменить формат вывода (команда приведена на линии рамки над списком туннелей). По этой команде вместо последних трех колонок на видеомонитор ЛКУ выводится комментарий, заданный в карточке туннеля в графе Описание (см. пояснения к Рис. 3.8, с. 80). На рамке в правом верхнем углу (Рис. 3.5) выводится десятичное число, определяющее длину файла, содержащего описатели (в байтах), полезное для контроля при настройке изделия. Максимально возможная длина файла − 256 Кбайт. Все операции по созданию, редактированию и управлению туннелями выполняются с помощью функциональных клавиш, назначение которых приведено в нижней части окна (Рис. 3.5). Далее приведены пояснения к выполнению этих операций. F7 – создать (Рис. 3.5). Нажатие клавиши Enter – редактировать (Рис. 3.5). Нажатие клавиши Alt+F7 – загрузить из файла (Рис. 3.5). Функция позволяет загрузить описание туннелей из файла. После нажатия комбинации клавиш Рис. 3.6 Запрос на ввод имени файла с описателями статических туннелей На запрос должно быть введено обязательное имя tnl_tcp.ema – системное имя файла, в котором хранится описание статических туннелей. Имя (с указанием пути) можно ввести с клавиатуры (после чего нажать клавишу 80 Глава 3. Средства защиты при передаче данных через сети Если предполагается использовать описание туннелей, имеющихся в архиве изделия, следует в папке D:\DIONISWT.CFG (папка содержит архив всех конфигураторов изделия – см. раздел 4.1.8, с. 143) найти нужный конфигуратор и выбрать в нем файл tnl_tcp.ema – перевести курсор на имя файла и нажать клавишу добавить описатели туннелей к списку или заменить имеющийся список туннелей целиком на другой. Примечание. Файл tnl_tcp.ema может находиться на съемном носителе, что позволяет перенести описание статических туннелей, сформированное на другом изделии. F3 – не обрабатывать (Рис. 3.5). Нажатие клавиши не обрабатываемый (выключенный). На экране цвет соответствующей строки при этом изменяется на зеленый. Повторное нажатие клавиши F2 – блокировать (Рис. 3.5). Нажатие клавиши F4 – заменить серию ключей (Рис. 3.5). Нажатие клавиши F6 – перенести (Рис. 3.5). Использование клавиши белый. Далее следует переместить курсор в списке криптотуннелей (Рис. 3.5) на ту строку списка, после которой должна быть размещена обозначенная белым цветом строка описателя, и повторно нажать клавишу Внимание! Порядок следования описателей статических криптотуннелей в списке имеет значение, так как при отправке IP-датаграммы в сеть проверяется по списку описателей туннелей совпадение параметров IP-датаграммы с правилами отбора в туннель, при этом список описателей статических криптотуннелей (см. Рис. 3.5) просматривается сверху вниз. Ctrl+Enter – правила отбора (Рис. 3.5). При нажатии комбинации клавиш ЛКУ выводится полный список правил отбора всех статических криптотуннелей изделия, аналогичный представленному на Рис. 3.7. Список можно визуально проконтролировать на видеомониторе ЛКУ, а также можно задокументировать текущее состояние списка правил отбора – занести в журнал (файл LOG.EMA), для чего следует нажать клавишу <пробел>. Рис. 3.7 Полный список правил отбора статических криптотуннелей Создание и настройка статического криптотуннеля Бланк создания и настройки статического криптотуннеля изделия представлен на Рис. 3.8. Пояснения, необходимые при работе с бланком, приведены ниже. Рис. 3.8 Бланк создания и настройки статического криптотуннеля Описание (Рис. 3.8) – параметр позволяет задать до 32-х символов произвольного текста. Его можно увидеть на экране, если изменить формат вывода списка туннелей (см. Рис. 3.5, с. 790), выдав команду Alt+F1 – сменить формат вывода. Глава 3. Средства защиты при передаче данных через сети 81 Идентификатор туннеля (Рис. 3.8) – параметр задает целое десятичное число в диапазоне от 0 до 32767 (до 5 цифр), идентифицирующее криптотуннель. Значение идентификатора должно совпадать на обоих концах туннеля – в списках статических криптотуннелей на обоих изделиях, между которыми организуется туннель. Внимание! Значение идентификатора криптотуннеля в составе ЗСПД должно быть уникальным среди узлов, входящих в одну и ту же ключевую зону. Локальный IP-адрес (Рис. 3.8) – параметр задает IP-адрес локального конца криптотуннеля. Этот адрес будет подставлен в качестве адреса отправителя (Source Address) в IP-заголовок транспортной IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73). Удаленный IP-адрес (Рис. 3.8) – параметр задает IP-адрес удаленного конца туннеля. Этот адрес будет подставлен в качестве адреса назначения (Destination Address) в IP-заголовок транспортной IP-датаграммы при упаковке датаграммы в туннель (см. раздел 3.1, с. 73). Правила отбора (Рис. 3.8) –параметра обеспечивает вызов меню управления правилами отбора в статический туннель, аналогичного представленному на Рис. 3.9. Правила отбора регулируют выбор из потока всех входящих IP-датаграмм тех, которые должны быть направлены на дальнейшую обработку в конкретный криптотуннель, т.е. тех IP-датаграмм, параметры которых совпали с правилами отбора. Рис. 3.9 Меню управления правилами отбора в статический криптотуннель F7 – создать (Рис. 3.9). Нажатие клавиши Пояснения к работе по настройке параметров этого бланка приведены ниже в данном разделе. Примечание. Описатель созданного правила будет помещен в общий список правил отбора (Рис. 3.9) первой строкой, если список был пуст, или строкой, следующей за строкой того описателя, на которую был установлен курсор непосредственно перед нажатием клавиши Enter – редактировать (Рис. 3.9). Нажатие клавиши ЛКУ бланка создания и настройки правила отбора, аналогичного представленному на Рис. 3.10 (с. 82); бланк содержит параметры того правила, на котором в меню управления правилами отбора (Рис. 3.9) был установлен курсор. Операция предоставляет возможность откорректировать параметры правила. F8 – удалить (Рис. 3.9). Нажатие клавиши F6 – перенести (Рис. 3.9). Использование клавиши Далее следует переместить курсор на ту строку списка описателей правил (Рис. 3.9), после которой должна быть размещена обозначенная белым цветом строка, и повторно нажать клавишу Примечание. Между первым и вторым нажатиями клавиши F3 – блокировать (Рис. 3.9). Нажатие клавиши F2 – выгрузить в файл (Рис. 3.9). Нажатие клавиши Текст описаний правил отбора можно редактировать. Эта возможность позволяет оперативно заимствовать список правил отбора с другого аналогичного изделия. 82 Глава 3. Средства защиты при передаче данных через сети F4 – загрузить из файла (Рис. 3.9). Нажатие клавиши На Рис. 3.10 представлен бланк создания и настройки правил отбора в статический криптотуннель. Рис. 3.10 Бланк создания и настройки правила отбора в статический криптотуннель Режим (Рис. 3.10). Параметр может принимать значение разрешить или запретить. В первом случае входящая IP-датаграмма, соответствующая остальным параметрам правила, будет считаться отобранной в данный криптотуннель, во втором случае IP-датаграмма в туннель отобрана не будет и ее обработка будет продолжена на общих основаниях согласно алгоритму работы маршрутизатора. Протокол (Рис. 3.10). Параметру может быть присвоено одно из следующих значений: ANY, ICMP, TCP, UDP, TNL. Фиксировать (Рис. 3.10). Параметр может принимать значения да или нет, определяя, будет ли выполняться протоколирование последовательности обработки IP-датаграмм, проходящих через статический криптотуннель, в журналах изделия Диапазон номеров портов (Рис. 3.10). Параметр имеет смысл только для протоколов TCP и UDP . Он задает проверку значения порта назначения в IP-заголовках TCP- или UDP-датаграмм, транспортируемых подлежащими проверке IP-датаграммами. Порт назначения TCP- или UDP- пакета считается удовлетворяющим данному правилу отбора, если его значение укладывается в диапазон, заданный параметром Диапазон номеров портов. Если обе цифры параметра Диапазон номеров портов имеют одинаковое ненулевое значение, то данному правилу отбора удовлетворяют TCP- или UDP-пакеты с единственным значением поля порт назначения заголовка пакета. Если обе цифры параметра Диапазон номеров портов являются нулями, то проверка поля порт назначения заголовка IP-датаграммы не производится, т.е. любое значение порта назначения датаграммы считается удовлетворяющим данному правилу отбора. Для параметров Адрес: Отправитель и Адрес: Получатель (Рис. 3.10) можно задать значения параметру Зн. бит – длину маски подсети, целое десятичное число в диапазоне от 0 до 32. В этом случае в процессе отбора значения IP-адресов, заданные в бланке создания и настройки правил отбора, и значения IP-адресов датаграммы будут сравниваться только по заданному числу старших бит адресов. Примечание. Количество сформированных правил отбора в каждый из статических криптотуннелей выводится в список описателей статических криптотуннелей изделия в колонке под заголовком #N# (см. Рис. 3.5, с. 79). Заголовок (Рис. 3.8). При выборе альтернативы на видеомонитор ЛКУ будет выдан бланк настройки типа транспортного протокола для передачи туннелированных IP-датаграмм, представленный на Рис. 3.11. Рис. 3.11 Бланк настройки типа транспортного протокола туннелированной IP-датаграммы Формат заголовка (Рис. 3.11). Параметр может принимать одно из следующих значений: TNL – полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение, равное 4 (что означает, что сформированная туннелированная IP- датаграмма представляет собой инкапсуляцию IP in IP); UDP – полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение 17. Политика отдельных провайдеров препятствует передаче Глава 3. Средства защиты при передаче данных через сети 83 туннелированных данных (когда полю Protocol в IP-заголовках исходящих IP- датаграмм присвоено значение 4) через контролируемые ими сети передачи данных. Присвоение значения UDP или UDPnat параметру Формат заголовка позволяет добиться передачи трафика через такие сети. UDPnat – в этом случае полю Protocol в IP-заголовках исходящих туннелированных IP-датаграмм будет присвоено значение17. Присвоение параметру Формат заголовка (Рис. 3.11) значения UDPnat обеспечивает возможность передачи туннелированных данных в режиме клиент-сервер из-под NAT-обработчика. Е сли параметр Формат заголовка имеет значение UDP или UDPnat, то параметрам Порт отправителя и Порт получателя IP-датаграмм можно присвоить значения, отличные от умалчиваемых (по умолчанию оба параметра имеют значение 500). Шифрование потока (Рис. 3.8). Параметр для статических криптотуннелей всегда имеет значение ДА, что означает безусловное выполнение зашифрования информации, передаваемой по статическому криптотуннелю. Номер ключевой зоны (Рис. 3.8) – целое десятичное число в диапазоне от 1 до 999 или 0 (число 7 в скобках под заголовком Шифрование на Рис. 3.5) Номер серии ключей (Рис. 3.8) – целое десятичное число, равное номеру серии ключей, используемой в данной криптографической сети (число 1002 под заголовком Шифрование на Рис. 3.5). Локальный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру данного изделия в криптографической сети (число 4 под заголовком Шифрование на Рис. 3.5). Удаленный криптономер (Рис. 3.8) – целое десятичное число (до 5 цифр), соответствующее криптографическому номеру в криптографической сети того удаленного изделия, с которым будет выполняться обмен информацией по данному криптотуннелю (число 10 под заголовком Шифрование на Рис. 3.5). Примечание. При настройке значений параметров Номер ключевой зоны, Номер серии ключей и Локальный криптономер следует руководствоваться комментариями, приведенными в разделе 2.4.2, с. 39 при описании настройки аналогичных параметров меню настройки криптопараметров TNL-интерфейса (Рис. 2.24, с. 40). vХХХ (Рис. 3.8) – параметр управления криптографической совместимостью. Определяет вариант реализации в данном туннеле версии криптографического алгоритма обработки туннелируемых IP-пакетов; параметр необходим для настройки синхронной обработки IP-пакетов криптоалгоритмами одного и того же варианта реализации на приемном и передающем концах настраиваемого туннеля. Параметр может принимать следующие значения: vМПМ – версия криптографического алгоритма, реализованная в изделиях серии М-479Рх; v07Ф – версия криптографического алгоритма, реализованная в изделиях М-479К; v07М – версия криптографического алгоритма, реализованная в изделиях М-479Ж. Внимание! При настройке криптотуннелей с применением изделия М-479Р2 параметру vХХХ может быть присвоено только значение vМПМ. Контроль (Рис. 3.8) – по умолчанию параметр имеет значение Нет, при этом режим самоконтроля криптотуннеля не запускается. При выборе параметра на видеомонитор ЛКУ выдается представленное на Рис. 3.12 меню настройки механизма самоконтроля состояния криптотуннеля, осуществляемого с помощью специального контрольного пакета (KEEPALIVE). Рис. 3.12 Меню настройки механизма самоконтроля состояния криптотуннеля (KEEPALIVE) |