Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Максимальный размер SNMP-пакета (Рис. 5.5). По умолчанию параметр имеет значения 1500. Изменять это значение следует только по требованию администратора управляющей станции (SNMP-менеджера). 156 Глава 5. Настройка служб Данные администратора и Данные местоположения (Рис. 5.5). В базе MIB-II есть две стандартные переменные с системными именами: sysContact и sysLocation. Они позволяют управляющей станции получить текстовую информацию об администраторе и местоположении управляемого изделия. Содержание этой информации определяется структурой управления сетью в целом. При настройке SNMP-агента изделия в эти два поля бланка настройки (Данные администратора и Данные местоположения) следует занести ту текстовую информацию, которую закажет SNMP-менеджер (желательно без символов кириллицы). Как правило, это фамилия (имя) администратора и географическое местоположение изделия. Доменное имя узла (Рис. 5.5). Параметр определяет имя изделия с точки зрения системы управления (обычно это имя узла). Community-пароли доступа (Рис. 5.5). Выбор этого поля бланка приводит к выводу экрана управления списком, аналогичного представленному на Рис. 5.6; список содержит описатели тех управляющих SNMP- станций, которым разрешена запрос-ответная форма получения информации от изделия по SNMP-протоколу. Рис. 5.6 Экран управления списком управляющих SNMP-станций (запрос-ответная форма) Для редактирования (Рис. 5.6) ранее созданного описателя управляющей SNMP-станции (клавиша SNMP-станции, аналогичный представленному на Рис. 5.7. Рис. 5.7 Бланк создания и настройки описателя управляющей SNMP-станции (запрос-ответная форма) Community-пароль (Рис. 5.7). Для целей аутентификации в транспортной части SNMP-протокола предусмотрено текстовое поле Community, содержащее пароль. Все SNMP-пакеты (циркулирующие в обоих направлениях) должны идти с указанием этого пароля: пакеты без пароля или с неправильным паролем будут отвергнуты. Перед тем как начать управление, администраторы управляющей станции и изделия должны согласовать пароль. Пароль не должен содержать символов кириллицы. Значение согласованного с управляющей станцией пароля следует ввести в поле Community-пароль. Специальное значение пароля. Можно создать пароль со специальным именем * (символ «звездочка»). При наличии такого пароля SNMP-агент будет принимать SNMP-запросы с любым паролем, выполнять предписанные действия и отправлять ответы с тем паролем, который был в запросе. Значения параметров Режим доступа и Имя фильтра задаются обычным образом. Режим доступа (Рис. 5.7). Параметр позволяет установить разные режимы доступа к управляющей информации: - режим ограниченного доступа (значение параметра – RO); в этом режиме SNMP-менеджер может только считывать информацию о параметрах управляемого устройства, т.е. может только наблюдать за работой устройства; - режим полного доступа (значение параметра – RW); в этом режиме SNMP-менеджер может и считывать, и записывать информацию о параметрах управляемого устройства, т.е. может управлять работой устройства. Имя фильтра (Рис. 5.7). Если выбрать это поле, на экран будет выдан список имеющихся IP-фильтров (см. раздел 3.2.1.2, Рис. 3.20, с. 92) и предоставлена возможность выбрать один из них. Выбранный фильтр программой управления будет соотнесен с паролем. В этом случае после проверки пароля будет выполняться проверка IP-датаграммы по правилам IP-фильтра. При помощи фильтра обеспечивается дополнительная (кроме пароля) защита – указывается та управляющая станция в сети, которой изделие разрешает собой управлять. Замечание. Для одной управляющей станции разрешается использовать одновременно несколько паролей с разными режимами доступа и/или с разными фильтрами, устанавливая тем самым разные возможности доступа к управляющей информации. Глава 5. Настройка служб 157 Получатели уведомлений (Рис. 5.5). Выбор поля приводит к выводу экрана управления списком, аналогичного представленному на Рис. 5.8; список содержит описатели тех управляющих станций, которым SNMP-агент изделия будет посылать уведомления при возникновении событий, т. е. список тех SNMP-станций, которым разрешено управление изделием, если задана событийная форма получения информации от управляемых устройств. Рис. 5.8 Экран управления списком управляющих SNMP-станций (событийная форма) Для редактирования ранее созданного элемента списка (клавиша Рис. 5.9 Бланк создания и настройки описателя управляющей SNMP-станции (событийная форма) IP-адрес (Рис. 5.5). IP-адрес управляющей станции. Порт (Рис. 5.5). Номер порта на управляющей станции, по которому будут приходить уведомления от изделия. По стандарту SNMP для приема уведомлений используется порт 162. Версия (Рис. 5.5). Значением поля должна быть используемая версия - v1 или v2c. Значение используемой версии задает менеджер. Community-пароль (Рис. 5.5). В поле надо ввести пароль, согласованный с управляющей станцией. 5.4. DNS DNS-служба обеспечивает обработку запросов на поиск в доменной системе имен сетей, функционирующих согласно системным требованиям internet/intranet-технологий, и возвращает результаты поиска. Запросы поступают от DNS-клиентов рабочих станций, а также от служб маршрутизаторов изделия. Общие сведения o доменной системе имен (Domain Name System, DNS) приведены в разделе Приложение Д , с. 243. 5.4.1. Настройка DNS-службы В процессе настройки DNS-службы маршрутизатора изделия необходимо: - установить основные параметры работы DNS-клиента; - настроить DNS-сервер. Примечание. Из двух компонентов DNS-службы DNS-клиент настраивается всегда. Настройки DNS-сервера могут отсутствовать, в этом случае все поступающие запросы DNS-клиент транслирует указанным в его настройке вышестоящим в сети DNS-серверам. Выбор альтернативы DNS в меню управления запуском служб маршрутизатора (Рис. 5.1, с. 151) приводит к выводу на видеомонитор ЛКУ меню настройки DNS-службы, аналогичного представленному на Рис. 5.10. В этом меню первая альтернатива касается управления списком DNS-серверов, следующие две альтернативы относятся к настройке DNS-клиента, а последние три – к настройке DNS-сервера. Рис. 5.10 Меню настройки DNS-службы 158 Глава 5. Настройка служб Управление списком DNS-серверов Перечень серверов (Рис. 5.10). При выборе альтернативы на видеомонитор ЛКУ выдается экран управления списком DNS-серверов, аналогичный представленному на Рис. 5.11. С его помощью создается и настраивается список IP-адресов внешних DNS-серверов, доступных маршрутизатору изделия. Обычно список состоит из IP-адресов двух серверов: основного и резервного DNS-серверов internet/intranet-провайдера. Рис. 5.11 Экран управления списком DNS-серверов для маршрутизатора изделия Как следует из подсказок в нижней части экрана (Рис. 5.11), IP-адрес DNS-сервера можно отредактировать (переместив на строку с IP-адресом курсор и нажав клавишу Задайте IP-адрес DNS-сервера: В ответ следует ввести новый IP-адрес DNS-сервера или отредактировать имеющийся в списке. Нажатие клавиши Настройка DNS-клиента Количество попыток запросов (Рис. 5.10). Параметр определяет, сколько попыток получить ответ от DNS-серверов может сделать DNS-клиент. Одной попыткой считается последовательный опрос всех DNS- серверов, доступных маршрутизатору изделия. В качестве значения параметра должно быть указано целое число в диапазоне от 1 до 32. Суффикс имен (Рис. 5.10). Текстовый суффикс, который в DNS-запросах автоматически добавляется к простым именам (не имеющим точек в составе имени). Обычно в качестве суффикса используется имя домена сети, в состав которой входит маршрутизатор изделия. Настройка DNS-сервера DNS-сервер маршрутизатора изделия может обслуживать до восьми зон. Имена зон должны заканчиваться точкой. Имя зоны, используемой для накачки кэша, должно состоять из одной точки (в этой зоне могут быть любые записи, которые администратор сочтет нужным иметь в кэше при запуске DNS-сервера; ответы DNS- клиентам по этим записям не являются авторитетными). Конфигурация DNS-сервера (данные зон и кэш) (Рис. 5.10). Выбор альтернативы выводит экран управления списком имен обслуживаемых DNS-сервером зон, аналогичный представленному на Рис. 5.12. Рис. 5.12 Экран управления списком имен обслуживаемых DNS-сервером зон Как следует из подсказок в нижней части экрана, администратору изделия предоставляются следующие возможности управления. Enter - редактировать (Рис. 5.12). После того как курсор будет переведен на имя зоны и нажата клавиша Глава 5. Настройка служб 159 Рис. 5.13 Экран управления списком RR-записей редактируемой зоны С помощью описанных далее возможностей, предоставляемых этим экраном управления, может быть сформирован полный списком RR-записей редактируемой зоны. F7 – создать/Enter – редактировать (Рис. 5.13). При нажатии клавиш Рис. 5.14 Бланк создания (редактирования) RR-записи редактируемой зоны Время (Рис. 5.14). Параметр задает время жизни RR-записи в секундах. Если поле не заполнено, то время жизни RR-записи не ограничено. Параметры RR-записей Имя и Данные в зависимости от типа записи (от значения поля Тип) должны иметь следующие значения: Тип Имя Данные NS имя_зоны имя_машины A имя_машины IP-адрес PTR IP-адрес имя_машины MX имя_домена приоритет имя_машины CNAME алиас имя_машины F8 - удалить (Рис. 5.13). После нажатия клавиши F5 - выгрузить в файл / Alt+F7 - загрузить из файла (Рис. 5.13). Содержимое описателей зон можно выгрузить в текстовый файл или загрузить из текстового файла. Предварительно программа управления запросит имя файла. Формат RR-записей в текстовом файле соответствует формату системы BIND, за некоторыми исключениями, которые приведены в разделе Приложение Д , с. 243. F7 – создать (Рис. 5.12). При нажатии клавиши Рис. 5.15 Бланк управления заголовочными параметрами зоны F8 – удалить (Рис. 5.12). При нажатии клавиши 160 Глава 5. Настройка служб F6 – изменить заголовок зоны (Рис. 5.12). При нажатии клавиши F3 - скрыть зону (Рис. 5.12). При нажатии клавиши F2 - статус зоны (Рис. 5.12). После создания зона получает статус обычная, ее имя выводится на видеомонитор ЛКУ черным цветом. Если перевести курсор на строку с именем зоны и нажать клавишу Примечание. Наличие зон с разным статусом позволяет использовать т.н. разделенный DNS. Все DNS-запросы с помощью системного фильтра dns_int делятся на внутренние (попадающие под разрешающие правила фильтра) и внешние (все остальные). Ответы на все внутренние DNS-запросы будут выданы из внутренних и из обычных зон, ответы на внешние DNS-запросы – из внешних и из обычных зон. Другими словами, внутренние запросы не видят внешних зон, а внешние – внутренних зон. Размер кэша DNS-сервера (в блоках) (Рис. 5.10). Параметр позволяет задать число блоков кэша. Кэш DNS-сервера маршрутизатора изделия состоит из отдельных блоков, каждый по 64 Кб. Максимальное число блоков – 16, минимальное – 1. В одном блоке может храниться до 1024 записей. Ограничение количества запросов (Рис. 5.10). С помощью параметра можно задать максимальное количество запросов к DNS-серверу маршрутизатора изделия, поступающих с одного IP-адреса. Точнее, можно ограничить размер очереди ожидания ответов на DNS-запросы, поступающие от устройства с одним IP- адресом. Эта возможность весьма полезна для защиты DNS-сервера маршрутизатора изделия от перегрузок, возникающих вследствие атаки изделия со стороны внешних злоумышленников, а также вследствие работы вирусов, проникающих на рабочие станции внутренней сети. 5.4.2. Работа DNS-службы Как отмечалось выше, при старте маршрутизатора изделия автоматически запускается DNS-сервер. При запуске DNS-сервера выполняется инициализация кэша, в процессе которой в него помещаются записи всех сконфигурированных ранее зон. Если запрос на DNS-сервер маршрутизатора поступает от служб маршрутизатора, то DNS-сервер сначала пытается найти ответ в таблице адресов (см. раздел 4.2.2, с. 147). Если ответ в таблице адресов не находится, то DNS-сервер продолжает поиск в своем локальном кэше. Если ответ и здесь не находится, то DNS-клиент маршрутизатора посылает DNS-запрос одному из доступных маршрутизатору DNS-серверов (пример списка серверов на Рис. 5.11, с. 158). Если запрос на DNS-сервер поступает от DNS-клиентов рабочих станций, то DNS-сервер начинает поиск в своем локальном кэше. Если ответ на запрос не находится, то DNS-клиент маршрутизатора посылает DNS-запрос одному из доступных маршрутизатору DNS-серверов (см. Рис. 5.11, с. 158). Все порожденные таким образом запросы заносятся в очередь DNS-запросов. При этом фиксируется, кто прислал первоначальный запрос, что содержится в запросе и кому послал запрос маршрутизатор.После того как ответ будет получен от другого DNS-сервера и передан DNS-клиенту, элемент из очереди удаляется. Поэтому на нормально работающем DNS-сервере, когда все запросы DNS-клиентов удовлетворяются в реальном времени, очередь DNS-запросов обычно пуста. Полученные от других DNS-серверов ответы помещаются в кэш и хранятся в нем указанное в ответе время (время жизни записи в чужих кэшах) или до останова маршрутизатора. Напомним, что в маршрутизаторе изделия могут применяться системные фильтры (см. раздел 3.2.1.7, с. 104). Для обеспечения работы DNS-сервера могут быть использованы следующие системные фильтры. 1. Фильтр с системным именем dnslocal. Все DNS-запросы, для которых правилами фильтра dnslocal задан режим разрешить, удовлетворяются только из локального DNS-кэша. 2. Фильтр с системным именем dns_int предназначен для разделения всех поступающих к DNS-серверу запросов на внешние и внутренние. Все DNS-запросы, для которых правилами фильтра dns_int задан режим разрешить, считаются внутренними. Для ответов на такие запросы используются внутренние и обычные зоны DNS-сервера. Все остальные DNS-запросы (не подпавшие под разрешающие правила фильтра с именем dns_int) считаются внешними. Для ответов на такие запросы используются внешние и обычные зоны DNS-сервера. Глава 5. Настройка служб 161 3. Фильтр с системным именем dnszone предназначен для указания внешних DNS-серверов, которым разрешена пересылка зон по TCP-протоколу. Операция пересылки зоны используется для организации вторичных DNS-серверов. С помощью этой операции вторичный DNS-сервер в определенные моменты времени может запросить полное копирование информации о любой DNS-зоне, хранящейся на первичном DNS-сервере. Для устранения возможности несанкционированного доступа к информации DNS-зон все внешние DNS-серверы, которым дано право чтения информации зон, должны быть указаны в разрешающих правилах фильтра dnszone. Все запросы на пересылку информации зон DNS-сервера маршрутизатора изделия, не подпавшие под разрешающие правила фильтра dnszone, будут отвергнуты. |