Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

8
Глава 1. Введение
Конструктивно изделие, исполненное в двухсегментной архитектуре, представляет собой:
 моноблок, в корпус которого вмонтированы следующие основные элементы обработки IP-трафика:
- два УВП – наружный и внутренний маршрутизаторы, конструктивно выполненные каждый в виде устройства на базе одного из сегментов двухсегментной объединительной платы или в виде отдельного устройства;
- подключаемый между маршрутизаторами шифратор, выполненный в виде отдельного устройства;
 подключаемые к моноблоку необходимые внешние устройства.
На Рис. 1.3 приведена общая функциональная схема изделия, исполненного в двухсегментной архитектуре технологии DioNIS®. На рисунке группы устройств, входящие в состав моноблока, объединены в следующие функциональные блоки:
- блок обеспечения функционирования и управления изделием (далее – БФУ);
- блок наружной маршрутизации (далее – БНМ);
- блок внутренней маршрутизации (далее – БВМ);
- блок криптографической обработки – шифратор (далее – БКО).
БФУ содержит следующие компоненты, обеспечивающие работу изделия:
- блок электропитания внутренних устройств;
- технические средства локальной консоли управления изделием (далее – ЛКУ) – клавиатуру и видеомонитор (встроенные в моноблок изделия или выполненные в виде отдельного конструктива, подключаемого к моноблоку), а также устройство попеременного подключения технических средств ЛКУ к тому из УВП, который в настоящий момент требует управляющих действий обслуживающего персонала.
Моноблок изделия
(двухсегментная архитектура)
БФУ
БВМ – сегмент
Системные ресурсы УВП
БНМ – сегмент
Системные ресурсы УВП
БНМ
Маршрутизация наружная
БКО
Расшифрование
Зашифрование
БВМ
Маршрутизация внтренняя
Закрытые данные
Открытые данные
Наружные интерфейсы
Внутренние интерфейсы
К
с ет ям о
бщ ег о по ль зо ва ни я
К
Л
В
С
П
ол ьз ов ат ел я
Рис. 1.3 Общая функциональная схема изделия, исполненного в двухсегментной архитектуре технологии DioNIS®
БНМ и БВМ обеспечивают обработку (маршрутизацию) трафиков подключенных к изделию сетей внешнего или внутреннего сегментов ЗСПД соответственно.
С помощью встроенных в моноблок сетевых интерфейсов изделие может быть подключено:
- по внутренним сетевым интерфейсам - к каналам связи, соединяющим изделие с сетями, в которых информация Пользователя, подлежащая защите, циркулирует в открытом виде;
- по наружным сетевым интерфейсам - к каналам связи, соединяющим изделие с сетями общего пользования, в которых циркулирует информация Пользователя, защищенная с помощью изделий, аттестованных для ее защиты.
Информационное взаимодействие между маршрутизаторами изделия – БНМ и БВМ – осуществляется исключительно через его шифратор – БКО, который обеспечивает криптографическую обработку исходящего
(зашифрование) и входящего (расшифрование) трафиков изделия.

Глава 1. Введение 9
1.3.
Управление изделиями
1.3.1.
Архитектура системы управления
Для решения задач управления изделием, исполненным в двухсегментной архитектуре, в его состав включены функциональные элементы системы управления изделием, схема взаимодействия которых представлена на Рис.
1.4. Описание архитектурных элементов системы управления изделием приведено ниже.
Аппаратура локальной консоли управления (АЛКУ) – комплект аппаратуры, состоящий из:
- видеомонитора и клавиатуры (встроенных в моноблок изделия или внешних по отношению к нему);
- встроенного в моноблок переключателя, обеспечивающего возможность подключения технических средств
ЛКУ к наружному или к внутреннему маршрутизатору (при этом информационное взаимодействие между маршрутизаторами через переключатель исключается).
Консоль управления наружная (КуН) и Консоль управления внутренняя (КуВ) – программные компоненты, обеспечивающие в соответствующем блоке маршрутизатора прием и интерпретацию потока данных канала управления от консоли управления локального изделия (или от консоли управления изделия, осуществляющего удаленное управление через сеть передачи данных) и передачу его соответствующему агенту управления.
Индикация реакции агента управления на управляющие воздействия передается консолью управления на видеомонитор локального изделия (либо через сеть передачи данных на видеомонитор удаленного управляющего изделия).
Агент управления наружный (АуН) и Агент управления внутренний (АуВ) – программные компоненты, обеспечивающие собственно манипулирование параметрами управления (параметрами конфигуратора изделия, данными статистики и журналами изделия) соответственно в составе наружного или внутреннего маршрутизаторов.
Журналы и статистика наружного маршрутизатора (ЖсН) и Журналы и статистика внутреннего
маршрутизатора (ЖсВ) – журналы, содержащие множество записей фиксации событий в работе соответственно наружного или внутреннего маршрутизаторов (хранятся журналы на энергонезависимом запоминающем устройстве БНМ или БВМ); множество значений текущих параметров статистики работы маршрутизатора (хранится статистика в оперативной памяти и, частично, на энергонезависимом запоминающем устройстве). Доступ к журналам и к параметрам статистики на чтение и на их запись имеет только агент управления соответствующего маршрутизатора.
Объединенная база параметров настройки (БпО) – множество значений параметров конфигуратора изделия, хранящееся в энергонезависимой памяти шифратора.
Наружный маршрутизатор
Шифратор
Внутренний маршрутизатор
Аппаратура ЛКУ
АуН
АуВ
КуВ
Агент управления внутренний
Консоль управления внутренняя
Агент управления наружный
КуН
Консоль управления наружная
ЖсН
Журналы и статистика внутреннего маршрутизатора
ЖсВ
Журналы и статистика наружного маршрутизатора
БпО
Объединенная база параметров настройки наружного и внутреннего маршрутизаторов
Рис. 1.4 Схема взаимодействия функциональных элементов системы управления изделием
Управление изделием подразумевает решение следующих трех задач:
1) конфигурирование изделия – изменение значений параметров конфигуратора (параметров настройки изделия) и выдача команд на ввод измененных параметров в действие;
2) наблюдение за изделием – получение оперативной информации о состоянии компонентов изделия путем считывания и интерпретации множества текущих значений параметров, получение статистики, а также применение функций, используемых при наладке работы изделия;
3) работа с журналами изделия – прием, накопление и анализ записей журналов фиксации событий в работе изделия, а также выдача команд на очистку локальной памяти журналов изделия.

10
Глава 1. Введение
Решение указанных задач выполняется в режиме локального или удаленного управления; особенности этих режимов рассмотрены ниже.
1.3.2.
Локальное управление
Локальное управление изделием осуществляет обслуживающий персонал узла связи ЗСПД, на котором эксплуатируется изделие, с помощью встроенных в моноблок изделия или подключаемых к моноблоку дополнительных технических средств локальной консоли управления – клавиатуры и видеомонитора, а также с помощью переключателя, обеспечивающего попеременное подключение технических средств ЛКУ
(встроенных или внешних) к требуемому блоку изделия – БВМ, БНМ или БКО.
Конфигурирование изделия – первая задача управления. Механизм конфигурирования изделия, реализованный в изделиях, исполненных в двухсегментной архитектуре, радикально отличается от механизма конфигурирования в изделиях, исполненных в односегментной архитектуре технологии DioNIS®. Вызвано это наличием в моноблоке изделия, исполненного в двухсегментной архитектуре, трех самостоятельных вычислительных устройств и, соответственно, трех независимо работающих программ управления функционированием этих устройств: программного обеспечения (ПО) управления блоком наружной маршрутизации, ПО управления блоком внутренней маршрутизации и ПО управления блоком криптографической обработки (шифратором). Каждая из программ управления имеет свой набор параметров, задающих режим ее работы, и настройка этих параметров для всех вычислительных устройств изделия (БВМ,
БНМ и БКО) должна быть синхронизирована.
Выполнять настройку всего изделия, настраивая независимо друг от друга три вычислительных устройства, нецелесообразно – часть параметров, используемая БВМ, БНМ и БКО, имеет одни и те же значения
(например, параметры настройки туннелей). При большом количестве параметров практически невозможно, записав их один раз, повторить вручную те же действия безошибочно.
Поэтому задача конфигурирования решается новыми изделиями следующим образом.
Все множество параметров, определяющих особенности режимов работы каждого из устройств моноблока изделия, – конфигуратор изделия – размещается в единой объединенной Базе параметров (БпО – на схеме Рис.
1.5), которая хранится в энергонезависимой памяти шифратора. Поэтому после выключения электропитания изделия его конфигуратор, записанный в БпО, сохраняется и определяет режим работы изделия при последующих запусках изделия. Наличие объединенной базы параметров БпО решает также задачу
синхронизации значений параметров настройки БВМ, БНМ и БКО.
Доступ к объединенной базе БпО организован со стороны обоих маршрутизаторов. При этом наружному маршрутизатору разрешены чтение и запись информации в БпО, а внутреннему маршрутизатору – только ее
чтение. Таким образом, изменение значений параметров объединенной базы БпО может быть выполнено только со стороны наружного маршрутизатора изделия.
Кроме объединенной базы БпО существуют две оперативные базы параметров (БпН и БпВ на Рис. 1.5):
- оперативная база параметров БНМ (БпН) – множество значений параметров конфигуратора, определяющих режим работы БНМ;
- оперативная база параметров БВМ (БпВ) – множество значений параметров конфигуратора, определяющих режим работы БВМ.
Аппаратура ЛКУ
БпО
БпН
БпВ
КуН
ПО шифратора
ПО внутреннего маршрутизатора
ПО наружного маршрутизатора
Рис. 1.5 Схема взаимосвязи баз параметров изделия и функциональных элементов системы управления
При выключении изделия и при каждом его перезапуске параметры из оперативных баз маршрутизаторов удаляются. При включении изделия (или при его перезапуске) соответствующие параметры конфигуратора считываются из объединенной базы БпО в соответствующие оперативные базы – в БпН и БпВ.

Глава 1. Введение 11
Чтобы выполнить настройку (конфигурирование) изделия, следует подключить технические средства ЛКУ к
БНМ (см. раздел 1.3.4, с. 14), получить на экране видеомонитора ЛКУ меню первого уровня – Главное меню программы управления функционированием БНМ (см. Рис. 1.9, раздел 1.3.4, с. 14), перевести программу управления функционированием БНМ в режим настройки, выбрав альтернативу Главного меню Настройка
(см. Рис. 1.10, раздел 1.3.4, с. 14), после чего задать требуемые значения параметров конфигуратора.
Примечание. Альтернатива Главного меню Настройка доступна для управления лишь персоналу, имеющему привилегии администратора изделия (подробнее об обеспечиваемых изделием режимах разграничения и уровнях доступа персонала к управлению изделием см. раздел 1.3.4, с. 14 и раздел 8.4, с. 183).
Процесс конфигурирования при этом организован так, что одновременно настраиваются параметры обоих маршрутизаторов. В случаях, когда параметры должны иметь одинаковые значения для БНМ и БВМ (например, при настройке параметров туннелей), их настройка выполняется без предварительных запросов программы управления. Если возможны различные значения параметров БНМ и БВМ (например, при настройке параметров служб), то программа управления предварительно выдает запрос о том, параметр какого из маршрутизаторов – внутреннего или наружного – предстоит настроить.
Примечание. Войти в меню Настройка можно и при подключении технических средств ЛКУ к
БВМ, но, как отмечалось выше, БВМ имеет доступ к содержимому БпО только на чтение, поэтому запись новых значений параметров конфигуратора в БпО при обращении с БВМ невозможна. При входе в меню Настройка с использованием средств ЛКУ, подключенных к
БВМ, программа управления выдает соответствующее предупреждение.
После того как будут настроены все параметры, обновленный конфигуратор следует записать в объединенную базу параметров – БпО. Но запись в БпО по умолчанию запрещена (это служит защитой от несанкционированной записи информации в БпО). Если значения каких-либо параметров были отредактированы (изменены), то по окончании процесса конфигурирования программа управления выдаст на видеомонитор ЛКУ запрос о необходимости или игнорировании записи выполненных обновлений конфигуратора в память БпО. Чтобы дать разрешение на запись, администратор должен перевести БКО в режим
разрешения записи в БпО. Перевод БКО в этот режим осуществляется администратором вручную с использованием средств управления шифратором (о порядке управления работой шифратора см. РЭ на конкретное изделие).
После выполнения администратором действий, необходимых для сохранения обновленного конфигуратора, происходит следующее.
1. Отредактированные параметры конфигуратора из оперативной памяти наружного маршрутизатора перезаписываются в шифратор − в долговременную энергонезависимую память объединенной базы параметров БпО (в).
2. ПО наружного маршрутизатора загружает в свою оперативную базу (БпН) обновленные значения параметров из БпО.
3. На БВМ поступает сигнал об изменении настроек конфигуратора изделия. В ответ ПО внутреннего маршрутизатора считывает обновленные значения параметров настройки из объединенной базы БпО и загружает их в свою оперативную базу БпВ.
4. В зависимости от характера обновлений конфигуратора обоими маршрутизаторами изделия может быть выполнен перезапуск отдельных вычислительных процессов с учетом нового содержимого баз
БпН и БпВ (рестарт сетевых интерфейсов, криптотуннелей и пр.)
Замечание. Средства локальной консоли изделия можно подключить к БВМ, после чего на экране видеомонитора ЛКУ будет представлено Главное меню программы управления внутренним маршрутизатором. Это меню служит, главным образом, для контроля действующих значений параметров и сбора статистики о работе БВМ. Главное меню программы управления БВМ применяется также для получения сведений о криптотуннелях и загруженных в изделие ключах; эти сведения нельзя получить, подключив средства ЛКУ к
БНМ.
Есть несколько второстепенных параметров конфигуратора (параметры локальной консоли, удаленной консоли и параметры абонентов), которые можно изменить из БВМ, но в измененном виде они будут записаны только в оперативную базу параметров БВМ – БпВ.
Никакого влияния на функционирование БНМ или БКО внесенные изменения оказывать не будут и будут потеряны после ближайшего перезапуска изделия.
Наблюдение за изделием и работа с журналами – вторая и третья задачи управления – решаются для каждого маршрутизатора с помощью соответствующего Агента управления (АуН или АуВ) и соответствующей
Консоли управления (КуН или КуВ) после подключения средств ЛКУ к требуемому маршрутизатору (БВМ или
БНМ).

12
Глава 1. Введение
1.3.3.