Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

132
Глава 4. Настройка отдельных параметров
3. Работа маршрутизатора. Фиксируется каждая проходящая через маршрутизатор датаграмма и выводится информация о результате маршрутизации и о преобразованиях датаграммы (если они выполнялись – NAT, туннели).
4. Работа криптосистемы изделия.
5. Работа прикладных служб. Потоки информации, которой обменивается каждая служба с внешним миром, фиксируются в текстовом формате, соответствующем специфике конкретной службы.
В соответствии с перечисленными видами объектов трассировки бланк управления параметрами трассировки работы компонентов изделия разделен на несколько зон (см. Рис. 4.4).
Рис. 4.4 Бланк управления параметрами трассировки компонентов изделия
Параметры установки режима трассировки – зона Интерфейсы(Рис. 4.4):
Ethernet
– трассировка Ethernet-интерфейсов;
Ethernet ext
– трассировка Ethernet-интерфейсов (на L2-уровне);
Loopback&Bdcst – трассировка внутренних передач
(отправка
IP-датаграмм себе) и широковещательных (broadcast) пакетов;
HEX-дамп
– если параметр задан (после параметра установлен знак «+» (плюс)), будет выводиться шестнадцатеричный дамп всей IP-датаграммы; если параметр не задан (после параметра установлен знак «–» (минус)), то будет выполняться только расшифровка заголовков в соответствии со значением параметра
Уровень
; параметр может быть задан только для наружного маршрутизатора.
Уровень
– уровень анализа заголовков датаграмм – значения параметра от 0 до 7:
0 – анализ заголовков датаграмм отсутствует;
1 – трассировка заголовков пакетов канального уровня;
2 – трассировка заголовков IP-пакетов и ARP-пакетов;
4 – трассировка TCP, UDP и ICMP- заголовков.
Примечание. Возможно указание суммы приведенных значений.
ARP
– трассировка ARP-протокола.
Внимание! Все изменения в полях бланка (Рис. 4.4) вступают в силу только после автоперезапуска и записи обновленного конфигуратора в БпО.
Параметры установки режима трассировки – параметр Маршрутизатор (Рис. 4.4).
Маршрутизатор – значения параметра – десятичное число в диапазоне от 0 до 31:
0 – анализ работы маршрутизатора отсутствует;
1 – выводятся только ошибки в маршрутизации датаграмм;
2 – выводятся сообщения, соответствующие нормальной работе маршрутизатора;
4 – трассировка всех обрабатываемых датаграмм, расшифровка IP-заголовков и вложенных TCP, UDP, ICMP-заголовков;
8 – к предыдущему добавляется представленный в шестнадцатеричном формате дамп обрабатываемых датаграмм (только для наружного маршрутизатора– БНМ);
Примечание. Возможно указание суммы приведенных значений.
16 – выводится расширенная информация о причинах ошибок маршрутизации датаграмм.

Глава 4. Настройка отдельных параметров 133
Параметры установки режима трассировки – параметр Криптография (Рис. 4.4):
Криптография – значения параметра – десятичное число в диапазоне от 0 до 255:
0
– анализ работы криптосистемы отсутствует;
1 - ERR
– выводятся сообщения о серьезных ошибках в работе шифратора
(нехватка памяти, некорректная работа аппаратуры и т.п.);
2 - REPORT– выводится расшифровка сообщений, посланных шифратором блоку внутренней маршрутизации (шифратор посылает сообщения на БВМ, если возникают какие-то проблемы);
4 - TNL
– трассировка упаковки и распаковки датаграмм в туннели;
8 - TNLe
– более полная трассировка упаковки и распаковки датаграмм в туннели;
16 - MGMT– выводится дополнительная информация о причинах ошибок маршрутизации датаграмм.
Примечание. Возможно указание суммы приведенных значений.
Параметры установки режима трассировки – зона Службы(Рис. 4.4):
Примечание. Обозначения (аббревиатуры) приведенных в зоне Службы названий служб
(сервисов), заканчивающиеся на букву D, обозначают серверные компоненты соответствующих служб (сервисов) – например, TelnetD, DHCPD, DNSD и т. д.
Чтобы включить трассировку, следует перевести курсор на соответствующую строку бланка (Рис. 4.4) в зоне
Службы и нажать клавишу ; в ответ символ «минус» после обозначения службы (сервиса) изменится на
«плюс». Повторное нажатие клавиши отменит трассировку (в бланк вернется знак «минус»).
Внимание! Трассировка существенно замедляет работу изделия. Поэтому включать трассировку следует только для целей наладки изделия, исключая ее использование в режиме штатной эксплуатации.
Включить трассировку компонентов изделия можно несколькими способами, описанными ниже.
1. С помощью описанного в настоящем разделе выбора цепочки альтернатив ГМ: Настройка 
Параметры  Трассировка. Все установленные таким образом параметры трассировки заносятся в конфигурационный файл системы и действуют постоянно (даже после перезапуска изделия) вплоть до их явной отмены. Параметры действуют для обоих блоков маршрутизации, наружного и внутреннего.
2. С помощью выбора цепочки альтернатив ГМ: Диагностика  Параметры  Трассировка
(см. раздел 9.1, с. 187). Это позволяет установить те же параметры, что и в предыдущем случае, но без
сохранения настроек в конфигурационном файле. Это означает, что параметры трассировки, установленные таким способом, действуют только до перезапуска изделия (или до их явной отмены). Параметры трассировки устанавливаются для каждого маршрутизатора изделия независимо.
Первым и вторым способом включается трассировка ARP-протокола, маршрутизатора, криптосистемы и служб. Что касается интерфейсов, то для них трассировка включается в момент активизации интерфейса при запуске изделия. При этом параметры трассировки формируется по следующим правилам. a). Программа управления считывает значения параметров режима трассировки для интерфейсов, установленного при выборе цепочек альтернатив Настройка  Параметры 
Трассировка или Диагностика  Параметры  Трассировка. b). Если задана трассировка сетевых физических интерфейсов (в поле бланка на Рис. 4.4 справа от параметров Ethernet и/или Ethernet ext стоит символ «плюс»), то режим трассировки интерфейсов определяется полем Уровень бланка трассировки.
3. С помощью выбора цепочки альтернатив ГМ: Диагностика  Интерфейсы  Активные 
Трассировка  Ctrl+Enter (см. раздел 9.2.2, с. 189) можно включить выборочную трассировку одного или нескольких активных интерфейсов и установить параметры трассировки. Такая настройка действует только до тех пор, пока интерфейс активен (или до явной отмены). Третий способ применяется, как правило, для оперативного включения трассировки интерфейса или оперативного внесения изменений в параметры трассировки.
4. Для включения выборочной трассировки активного интерфейса можно использовать средства оперативного контроля состояния интерфейсов (см. раздел 2.6, с. 52): команда Enter – трассировка интерфейса
(Рис. 2.39, с. 52) и Ctrl+Enter – трассировка интерфейса (Рис. 2.48, с. 57).
Примечание. В изделии реализован режим избирательной трассировки. Его организация обеспечивается с помощью системного фильтра с именем trace (см. раздел 3.2.1.7, с. 104).
Если в составе маршрутизатора изделия описан фильтр с таким именем, то трассировка будет выполняться только для IP-датаграмм, разрешенных этим фильтром.

134
Глава 4. Настройка отдельных параметров
4.1.4.
Настройка

Параметры

Удаленная консоль
Изделиями, исполненными в двухсегментной архитектуре технологии DioNIS®, поддерживается механизм удаленного управления. Одно изделие (управляющее) управляет другим (управляемым) по защищенным каналам связи.
Примечание. Об удаленном управлении см.также разделы 1.3.3,с.12 и 11, с. 204.
Для решения целого ряда задач на управляемом изделии (наблюдение за работой внутреннего и наружного маршрутизатора, оперативная перенастройка маршрутизаторов, трассировка и др.) можно осуществить удаленное управление с управляющего изделия в режиме т.н. удаленной консоли. При этом в процессе установления соединения между управляющим и управляемыми изделиями выполняется процедура
аутентификации, призванная повысить вероятность того, что управляющее изделие находится под управлением персонала ЗСПД, а не в руках злоумышленника.
Для выполнения процедуры аутентификации следует на управляемом изделии создать описание абонента, которому будет дано разрешение на удаленное управление, и указать, какие действия ему будут разрешены в процессе удаленного воздействия на управляемое изделие (см. раздел 6.4, с. 171).
Управляющее изделие подключается по каналу связи к управляемому от имени этого абонента и получает удаленно на консоли БВМ или БНМ копию соответствующей консоли управляемого изделия и, в зависимости от установленных полномочий, может наблюдать за информацией или выполнять контролирующие и управляющие действия, доступные с локальной консоли управляемого изделия.
Чтобы дать разрешение на удаленное управление, администратор управляемого изделия должен выбрать цепочку альтернатив ГМ: Настройка  Параметры  Удаленная консоль. В ответ на видеомонитор ЛКУ будет выдан бланк настройки параметров для организации управления в режиме удаленной консоли, представленный на Рис. 4.5.
Рис. 4.5 Бланк настройки параметров для организации управления в режиме удаленной консоли
В поле под заголовком Абонент (Рис. 4.5) следует занести имя абонента – то имя, под которым управляющее изделие зарегистрировано как абонент управляемого изделия.
В поле под заголовком Доп. пароль (Рис. 4.5) следует занести произвольную комбинацию не более чем из 15 символов. Этот пароль служит для дополнительной защиты от несанкционированного доступа к удаленному управлению.
В поле под заголовком Режим (Рис. 4.5) – параметр, определяющий уровень полномочий, которыми будет обладать управляющее изделие в процессе удаленного управления. Возможные значения параметра:
Просмотр, Управление или Захват.
Просмотр – персонал управляющего изделия сможет только наблюдать на своей консоли – БВМ или
БНМ – за работой соответствующего блока управляемого изделия – БВМ или БНМ.
Управление – персонал управляющего изделия сможет управлять работой изделия наравне с локальным администратором; управляемое изделие будет одинаково исполнять команды, полученные как с локальной консоли, так и с удаленной.
Напомним, что для записи измененных параметров в БпО требуется вручную дать разрешение (см. раздел 1.3.3,с.12).
Захват – управляемое изделие исполняет только команды управляющего изделия, клавиатура управляемого изделия отключается.
Снятие узла (Рис. 4.5) – с помощью этого параметра локальный администратор может разрешить персоналу управляющего изделия в режиме удаленного управления свернуть работу узла. Возможные значения параметра:
Да, Нет.
Заполнив графы бланка, следует активизировать альтернативу бланка Записать (Рис. 4.5).

Глава 4. Настройка отдельных параметров 135
4.1.5.
Настройка

Параметры

Служба времени
Выбор цепочки альтернатив ГМ: Настройка  Параметры  Служба времени позволяет установить
(откорректировать) для конкретного маршрутизатора изделия текущие время и дату, которыми в случае необходимости будут руководствоваться процессы, приложения, службы и сервисы настраиваемого маршрутизатора, а также позволяет согласовать работу своей службы времени (SNTP-службы) с SNTP- службами других маршрутизаторов – второго маршрутизатора собственного изделия и маршрутизаторов изделий, функционирующих в составе ЗСПД.
При выборе цепочки альтернатив на видеомонитор ЛКУ будет выдан бланк настройки режима работы SNTP- службы маршрутизатора изделия, аналогичный представленному на Рис. 4.6.
Рис. 4.6 Бланк настройки режима работы SNTP-службы маршрутизатора изделия
Параметры настройки SNTP-службы маршрутизатора объединены в бланке настройки (Рис. 4.6) в отдельные поля согласно своему функционалу; описание полей приведено ниже.
Часовой пояс (Рис. 4.6). Справа от заголовка в обрамляющую поле рамку выводится установленное ранее значение системной переменной TZ (time zone – часовой пояс).
Служба времени маршрутизатора изделия позволяет согласовать свою работу с работой SNTP-служб других изделий в составе ЗСПД, функционирующих как в одном часовом поясе с настраиваемым изделием, так и размещенных на объектах, находящихся в других часовых поясах.
С этой целью следует указать директивное значение часового пояса географической точки объекта, на котором готовится к эксплуатации настраиваемое изделие, для чего установить курсор на первую строку поля бланка под заголовком Часовой пояс и нажать клавишу . На видеомонитор ЛКУ будет выведен список часовых поясов планеты; в этом списке надо установить курсор на строку, содержащую требуемый описатель часового пояса, и нажать клавишу .
Список содержит 24 строки описателей часовых поясов, в каждом из которых приведено значение смещения времени в соответствующем часовом поясе (единица измерения смещения – один час) относительно времени нулевого часового пояса, средним меридианом которого является нулевой
Гринвичский меридиан (его географическая долгота равна – 0 градусов 0 минут 0 секунд), давший название системе Мирового времени – GMT (Greenwich Mean Time). Каждый описатель часового пояса в списке включает мнемоническое имя (имена). В России пока не существует стандарта наименований часовых поясов, но для многих из них сложились устоявшиеся значения. Администратор изделия может указать собственное значение этого имени, выбрав альтернативу Основное название, для чего установить курсор на вторую строку поля бланка под заголовком Часовой пояс, нажать клавишу
и в поле появившегося запроса ввести имя часового пояса (MSK – для Москвы). Если для летнего времени есть другое имя, то его тоже следует указать (MSD – для Москвы).
Автоматический переход на летнее время и обратно
. Если в позицию перед названием параметра между квадратными скобками поставить «*» (символ звездочка), то программой управления будет автоматически выполняться переход на соответствующее время в нужный период.
Время/Дата (Рис. 4.6). Для установки текущих времени и даты службы времени маршрутизатора следует в поле бланка под заголовком Время/Дата перевести курсор на поле Установить и нажать клавишу .
На видеомонитор ЛКУ будет выдан аналогичный представленному на Рис. 4.7 бланк установки текущего времени и даты. Для установки значения даты следует переместить курсор в поле бланка Дата и, последовательно выбирая курсором поля календаря, задать текущие значения года, месяца и даты.
После выбора даты и задания времени надо в поле бланка под заголовком Время (Рис. 4.7) переместить курсор на поле Установить и нажать клавишу .

136
Глава 4. Настройка отдельных параметров
Рис. 4.7 Бланк установки текущего времени и даты маршрутизатора изделия
SNTP-коррекция часов (Рис. 4.6). Для повышения синхронности взаимодействия SNTP-служб маршрутизаторов изделий в составе ЗСПД работу внутренних часов SNTP-службы маршрутизатора необходимо корректировать, так как часы маршрутизатора изделия – это обычный аппаратный элемент, имеющий конечную точность (погрешность) хода. Необходимость коррекции должна быть определена при настройке отдельно для каждой из SNTP-служб соответствующего блока маршрутизации изделия.
Служба времени маршрутизатора изделия позволяет установить режим автоматической коррекции внутренних часов SNTP-службы маршрутизатора согласно SNTP-протоколу.
Примечание. Применение режима автоматической коррекции внутренних часов SNTP-службы маршрутизатора рекомендуется в случае использования механизма автозамены ключевых документов по графику (см. раздел 3.4, с. 122).
Для обеспечения режима коррекции следует, во-первых, включить механизм автоматической корректировки текущего времени SNTP-службы и, во-вторых, настроить параметры работы режима коррекции.