Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

Глава 5. Настройка служб 167
Рис. 5.22 Бланк создания и настройки элемента рассылки сведений о маршрутах
Адрес (Рис. 5.22) – IP-адрес, подставляемый в поле Destination address IP-заголовка датаграммы при отправке RIP-пакета с таблицей маршрутов изделия. Адрес используется для маршрутизации, по нему определяется интерфейс изделия, в который будут отправляться IP-пакеты RIP-протокола с информацией о маршрутах.
Интервал рассылки (Рис. 5.22) – параметр задает периодичность рассылки (единица измерения – секунда) RIP-сервером своих маршрутных таблиц по указанному предыдущим параметром адресу.
При нулевом значении параметра рассылка по указанному адресу не осуществляется.
Стандартом RIP-протокола для параметра Интервал рассылки предусмотрено значение 30 сек.
Можно увеличить это значение с целью уменьшения нагрузки на сеть.
Значение интервала рассылки должно быть согласовано с параметром Время жизни
маршрутных записей других RIP-серверов данной сети. Обычно интервал рассылки равен одной трети значения Время жизни маршрутных записей. Список маршрутных записей и их параметров можно просмотреть с помощью команды ГМ:
Диагностика  Интерфейсы  Таблица маршрутов (см. раздел 9.2.3, с. 190) и команды ГМ: Интерфейсы  F3 – маршрутная таблица узла
(раздел 2.6, с. 52, параметр TTL в таблице на Рис. 2.43, с. 54).
Версия протокола (Рис. 5.22) – параметр задает версию RIP-протокола, используемого для рассылки маршрутных таблиц изделия. Возможные значения: 1 (RIP версии 1) или 2 (RIP версии 2).
Домен (Рис. 5.22) – целое число в диапазоне от 0 до 65535. Подставляется в поле Routing Domain пакетов протокола RIP. В большинстве случаев это поле должно иметь значение 0. Отличное от нуля значение может потребоваться в тех случаях, когда на соседних маршрутизаторах работают одновременно несколько процессов маршрутизации, обслуживающих разные административные области сети. (Подробнее см. документацию по протоколу RFC1388).
Метка (Рис. 5.22) – целое число в диапазоне от 0 до 65535. Подставляется в поле Route Tag пакетов протокола RIP версии 2. В большинстве случаев это поле должно иметь значение 0. Отличное от нуля значение может потребоваться для совместной работы изделия с маршрутизаторами, использующими другие протоколы динамической маршрутизации (OSPF, IS-IS и др.).
Адрес шлюза (Рис. 5.22) – IP-адрес шлюза, который подставляется в поле Next Hop пакетов протокола RIP версии 2. В большинстве случаев это поле должно иметь значение 0.0.0.0.
Отличное от нуля значение может использоваться в тех случаях, когда не все соседние с изделием маршрутизаторы используют протокол RIP. (Подробнее см. документацию по протоколу RFC1388).
Пароль (Рис. 5.22) – текстовая строка длиной до 16 символов, которая будет использоваться в качестве пароля в данных аутентификации пакетов протокола RIP версии 2. Вставка данных аутентификации производится только тогда, когда параметр Вставка данных аутентификации (Рис. 5.22) имеет значение ДА.
Широковещательная рассылка (Рис. 5.22) – параметр разрешает (значение ДА) или запрещает
(значение НЕТ) отправку IP-датаграмм с RIP-пакетами в широковещательном (broadcast) режиме.
Обычно RIP-информация отправляется в широковещательном режиме (всем станциям сети, подключенным к интерфейсу, назначенному для отправки RIP-пакета). Если администратор изделия запретит широковещательную рассылку, то поток RIP-информации будет отправляться только по адресу, заданному параметром Адрес (см. Рис. 5.22).
Вставка локального адреса (Рис. 5.22) – параметр разрешает (значение ДА) или запрещает
(значение НЕТ) вставку маршрутной записи с локальным адресом интерфейса, через который будет выполнена отправка RIP-пакета. Обычно этот параметр имеет значение НЕТ.

168
Глава 5. Настройка служб
Стратегия "Split Horizon" (Рис. 5.22) – параметр разрешает (значение ДА) или запрещает
(значение НЕТ) использование стратегии Split Horizon при формировании набора маршрутных записей для RIP-пакетов, отправляемых изделием.
Стратегия "Poisoned Reverse" (Рис. 5.22) – параметр разрешает (значение ДА) или запрещает
(значение НЕТ) использование стратегии Poisoned Reverse при формировании набора маршрутных записей для RIP-пакетов, отправляемых изделием.
Вставка данных аутентификации (Рис. 5.22) – в зависимости от значения этого параметра выполняется (значение ДА) или не выполняется (значение НЕТ) вставка данных аутентификации, основанных на значении параметра Пароль (Рис. 5.22), в пакеты протокола RIP версии 2.
Фильтр принимаемых маршрутных таблиц (Рис. 5.20) – альтернативаслужит для формирования списка фильтров, обеспечивающих запрет обработки некоторых из полученных криптомаршрутизатором RIP-данных.
Выбор альтернативы приводит к выводу представленного на Рис. 5.23 бланка создания и настройки списка фильтруемых адресов подсетей.
Рис. 5.23 Бланк создания и настройки списка фильтруемых адресов подсетей
Адрес (Рис. 5.23) – адрес IP-маршрутизатора, приславшего RIP-пакет.
Бит (Рис. 5.23) – целое десятичное число в диапазоне от 0 до 32, указывающее число старших бит IP-адреса (длину маски подсети).
Адреса IP-маршрутизаторов, присылающих RIP-пакеты, сравниваются с адресами в строках фильтра согласно указанной в соответствующей строке длине маски подсети (в битах). При совпадении пришедшие RIP-данные RIP-службой маршрутизатора не обрабатываются.
Адрес шлюза (Рис. 5.23) – IP-адрес шлюза.
Бит (Рис. 5.23) – целое десятичное число в диапазоне от 0 до 32, указывающее число старших бит IP-адреса (длину маски подсети).
После нажатия клавиши () на видеомонитор ЛКУ выдается бланк ввода параметров списка фильтруемых адресов подсетей, позволяющий сформировать (отредактировать) один элемент списка фильтруемых адресов подсетей – задать IP-адрес и число его значащих бит.
Нажатие клавиши без дополнительного запроса удаляет элемент списка, на котором установлен курсор.
Список аутентификации (Рис. 5.20) – альтернативаслужит для формирования списка, содержащего данные аутентификации, необходимые для обмена RIP-информацией с соседними RIP-серверами. В RIP-протоколе
версии 2 предусмотрена возможность перед обработкой данных RIP-пакета проверить полномочия RIP- сервера, приславшего эти данные.
Замечание. RIP-сервер изделия, в свою очередь, может вставлять необходимые данные аутентификации в отправляемые пакеты. Для этого в Списке рассылки (см. Рис. 5.21, с. 166) необходимо задать Пароль и присвоить значение ДА параметру Вставка данных
аутентификации.
Список аутентификации (Рис. 5.20) − выбор альтернативы приводит к выводу на видеомонитор ЛКУ экрана, аналогичного представленному на Рис. 5.24. Экран содержит список параметров аутентификации при обмене с RIP-серверами.
Рис. 5.24 Экран списка параметров аутентификации при обмене с RIP-серверами

Глава 5. Настройка служб 169
Экран (Рис. 5.24) содержит список параметров аутентификации при обмене с RIP-серверами. Каждая строка
(один элемент списка) имеет следующую структуру.
Под заголовком Интерфейс – имя интерфейса маршрутизатора изделия, через который принимается
RIP-пакет.
Под заголовком Домен – значение параметра из элемента Списка рассылки (Рис. 5.21) для того IP- маршрутизатора, откуда пришел RIP-пакет.
Под заголовком Пароль – значение параметра из элемента Списка рассылки (Рис. 5.21) для того IP- маршрутизатора, откуда пришел RIP-пакет.
После нажатия клавиши () на видеомонитор ЛКУ выдается бланк ввода элементов списка с параметрами аутентификации, позволяющий сформировать (отредактировать) один элемент списка – задать имя интерфейса, значение домена и пароль.
Нажатие клавиши без дополнительного запроса удаляет элемент списка, на котором установлен курсор.
Алгоритм проверки полномочий RIP-сервера, приславшего RIP-пакет. При получении от соседних узлов пакета маршрутных данных по протоколу RIP версии 2 на соответствующем маршрутизаторе выполняется процедура проверки возможности использования этих данных, для чего:
- среди записей списка аутентификации отбираются те, для которых значение поля Интерфейс совпадает с именем интерфейса, через который получен RIP-пакет;
- из отобранных записей оставляются только те, у которых значение поля Домен совпадает со значением поля Routing Domain RIP-пакета;
- проверяется совпадение присланного в RIP-пакете пароля со значением поля Пароль отобранных записей;
- при наличии хотя бы одного совпадения пароля данные RIP-пакета принимаются на дальнейшую обработку; в противном случае – пакет отбрасывается.
Время жизни маршрутных записей (Рис. 5.20) – параметр задает значение времени жизни (в секундах) записей, добавленных в рабочую таблицу маршрутизации с помощью RIP-сервера.
Каждая запись в рабочей таблице маршрутизации имеет счетчик времени, который устанавливается в начальное значение в момент добавления записи в таблицу. Каждую секунду значение этого счетчика уменьшается на единицу. При достижении нулевого значения счетчика запись из таблицы удаляется. Счетчик возвращается в начальное значение в момент каждого повторного получения RIP-сервером информации о данной маршрутной записи.
Замечание. Нулевое значение параметра задает неограниченное время жизни записи в таблице маршрутизации. Устанавливать нулевое значение не рекомендуется.
Прием default-маршрутов (Рис. 5.20). Этот параметр может иметь значение запрещен или разрешен. В зависимости от значения этого параметра, соответственно, запрещается или разрешается прием и занесение в рабочую таблицу маршрутов вида 0.0.0.0/00.
Слияние маршрутных записей (Рис. 5.20) – параметр может иметь значение запрещено или
разрешено
. При установке значения разрешено RIP-сервер может выполнять слияние – удаление маршрутных записей при получении нового маршрута для данного интерфейса, имеющего более широкую область действия, чем одна или несколько уже имеющихся в рабочей таблице маршрутизации записей.
Обрабатывать версии протокола выше (Рис. 5.20) – параметр может иметь значения 0, 1 или 2.
RIP-сервер изделия отвергает все RIP-пакеты, имеющие номер версии RIP-протокола, меньшие или равные значению данного параметра.
Прием RIP-98 (Рис. 5.20) – параметр может иметь значение разрешен или запрещен. В зависимости от значения этого параметра RIP-сервер маршрутизатора изделия, соответственно, обрабатывает или отбрасывает пришедшие RIP-пакеты версии RIP-98.
Внимание! Маршрутизаторы изделия принимают таблицы маршрутов по unicast-адресам ипо brodcast-адресам. По multicast-адресам маршрутизаторы изделия таблицы маршрутов НЕ принимают (подробнее о способах адресации см. раздел 2.8, с. 60).
5.7.2.
Работа RIP-службы
RIP-серверы изделия не требуют обязательной настройки, достаточно дать разрешение на его использование: присвоить значение ДА параметру Пуск в меню управления запуском служб маршрутизатора для службы RIP
(см. Рис. 5.1, с. 151). Без настройки RIP-сервер будет работать в режиме пассивного прослушивания входящих по интерфейсам соответствующего маршрутизатора IP-датаграмм. Если среди них окажутся пакеты с RIP- информацией, то будет выполнена модификация рабочей таблицы маршрутизации соответствующего маршрутизатора.
Для задания параметров работы RIP-сервера, в том числе для перевода его в активный режим работы, необходимо выполнить его настройку (о настройке RIP-службы см. раздел 5.7.1, с. 166).

6.
Настройка изделия для работы с абонентами
Для удобства работы с абонентами изделия введено понятие групп абонентов – каждый абонент размещается в конкретной группе. Сначала должна быть создана группа, а потом уже в составе этой группы следует создавать и настраивать учетные записи абонентов – их паспорта.
Программа управления изделием для обеспечения функций управления требует наличия специального абонента
– администратора узла. Один администратор создается в процессе инициализации маршрутизатора изделия, он автоматически заносится во все группы абонентов, этого администратора нельзя удалить. Такой администратор имеет доступ ко всем функциям управления изделием.
Программа управления позволяет при необходимости создать несколько дополнительных учетных записей администраторов и дать каждому из них доступ только к определенному набору управляющих функций.
К администраторам, как и к рядовым абонентам, применимы все рассмотренные в настоящем разделе функции и операции управления и контроля, включая возможность корректировки параметров паспорта – изменения имени и пароля администратора.
Для регистрации абонентов в списках учета абонентов изделия и для настройки параметров их работы следует выбрать цепочку альтернатив ГМ: Настройка  Абоненты. При выборе этой цепочки альтернатив на видеомониторе ЛКУ появится аналогичный представленному на Рис. 6.1 экран управления списком групп абонентов с полным списком всех групп абонентов, которые может обслужить изделие в процессе своего функционирования. Имена групп в списке располагаются в алфавитном (точнее, в лексикографическом) порядке.
В группе с системным именем administrators должны быть зарегистрированы абоненты, обладающие правами администратора (дополнительные администраторы), а в группе с системным именем system – абоненты, имеющие право удаленного подключения к данному изделию. Чтобы последние могли осуществлять функции удаленного управления данным изделием, следует внести их данные в бланк настройки параметров для организации управления в режиме удаленной консоли (см. раздел 4.1.4, Рис. 4.5, с. 134).
Рис. 6.1 Экран управления списком групп абонентов
В нижней части экрана управления списком групп абонентов размещены подсказки, информирующие о том, с помощью каких клавиш можно выполнить ту или иную операцию для управления группами абонентов. Все операции (кроме команды F7 - создать группу) выполняются для одной группы – той, на имени которой установлен курсор.
6.1. F7 -
создать группу
<F7> - создать группу (Рис. 6.1). При нажатии клавиши на видеомонитор ЛКУ выводится меню, содержащее учетную запись − паспорт группы (Рис. 6.2), и предоставляется возможность заполнить графы паспорта.
Рис. 6.2 Экран создания и настройки паспорта группы абонентов
Регистрационные данные.
Имя (Рис. 6.2). Параметр идентифицирует группу, имя группы должно быть уникальным. Имя может содержать любые буквы, цифры и специальные символы, кроме символов: @!%.,:*/= и символа пробела. При идентификации имени группы прописные и строчные буквы в имени не различаются.
Кроме того, идентичными являются символы латинского алфавита и кириллицы в кодировке КОИ-7.
Для изделия имена: Катя, КАТЯ, katq, KатQ – являются одним и тем же именем.

Глава 6. Настройка изделия для работы с абонентами 171
Пароль (Рис. 6.2). Значением параметра может быть произвольный набор до 15 символов. Задавать пароль группы не обязательно.
Примечание! Если для управления изделием требуется регистрация дополнительных администраторов, то необходимо создать группу с обязательным именем administrators и размещать абонентов-администраторов в ней.