Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Ограничения, контроль .... Из этой группы параметров настраивается только один: Доп.требования к паролю (Рис. 6.2). Параметр служит для установки ограничений на доступ к службам и сервисам изделия для всех абонентов группы. Подробнее эти ограничения будут рассмотрены ниже (см. раздел 6.4.2, с. 172). Присвоив значения параметрам паспорта, следует выбрать альтернативу Записать (Рис. 6.2). Если параметры паспорта заданы без ошибок, программа управления зарегистрирует новую группу абонентов изделия. 6.2. F4 - редактировать паспорт F4 - редакт. паспорт (Рис. 6.1). При нажатии клавиши Чтобы сделанные изменения были занесены в паспорт, следует выбрать альтернативу Записать (Рис. 6.2). Если при модификации паспорта была допущена какая-либо ошибка, программа управления сообщит о ней и не позволит произвести запись. Если из экрана (Рис. 6.2) выйти через альтернативу Отменить или нажав клавишу 6.3. F8 - удалить группу Удалить учетную запись группы абонентов (Рис. 6.1) можно только в том случае, когда в составе группы нет ни одного абонента (кроме первого администратора). Перед тем как произвести удаление, программа управления после нажатия клавиши 6.4. Работа с абонентами Чтобы получить доступ к абонентам конкретной группы, следует в списке групп абонентов (Рис. 6.1) переместить курсор на строку с описателем этой группы и нажать клавишу Рис. 6.3 Экраны управления списком абонентов группы В верхней рамке экранов выводится: имя группы, а в круглых скобках справа от имени – количество абонентов, зарегистрированных в группе. Как видно из подсказок в нижней части экранов, программа управления позволяет: - - - - По команде 172 Глава 6. Настройка изделия для работы с абонентами Рис. 6.4 Экран настройки паспорта абонента 6.4.1. Регистрационные данные Имя (Рис. 6.4). Имя служит для идентификации пользователя – абонента изделия. Имя должно быть не короче трех символов и не длиннее пятнадцати. Имена всех абонентов изделия в пределах всех групп должны быть уникальными. Имя должно быть задано обязательно. Имя может содержать любые буквы, цифры и специальные символы, кроме символов: @!%.,:*/= и символа пробел . Прописные и строчные буквы, а также символы латинского алфавита и кириллицы (в кодировке КОИ-7) для имени абонента идентичны. Для имени абонента не рекомендуется использовать символы русского алфавита (кириллицы). Пароль (Рис. 6.4). Пароль на экран не выводится (вместо символов пароля на экране отображаются звездочки). Пароль должен быть задан обязательно. 6.4.2. Ограничения, контроль ... Под этим заголовком доступна только альтернатива Доп.требования к паролю. Она позволяет задать необходимый уровень сложности пароля для абонента изделия. Выбор альтернативы приводит к выводу экрана настройки ограничений на сложность пароля абонента изделия, представленного на Рис. 6.5. Рис. 6.5 Экран настройки ограничений на сложность пароля абонента изделия Минимальная длина (Рис. 6.5). Параметр позволяет установить минимально допустимую длину пароля. Если параметру присвоено нулевое значение, то длина пароля может быть любой, начиная с одного символа. Периодичность смены (Рис. 6.5). Параметр задает интервал времени, через который пароль должен быть обязательно заменен. Возможные значения: день, неделя, месяц, квартал, год, НЕТ. В последнем случае изменять пароль не требуется. Запретить совпадение пароля с именем (Рис. 6.5). Если параметруприсвоить значение ДА, то абоненту будет запрещено задавать пароль, совпадающий с именем. Необходимо использовать оба регистра (Рис. 6.5). Если параметру присвоить значение ДА, то пароль абонента должен содержать как строчные, так и заглавные буквы (хотя бы по одной букве каждого регистра). Необходимо использовать буквы и цифры. (Рис. 6.5). Если параметру присвоить значение ДА, то пароль абонента должен содержать и буквы, и цифры (хотя бы по одной). Установку уровня сложности пароля можно выполнить индивидуально для каждого абонента или сразу для всех абонентов группы, воспользовавшись для этой цели альтернативами Доп.требования к паролю соответственно паспорта абонента (Рис. 6.4) или паспорта группы (Рис. 6.2). Если заданы и индивидуальные, и групповые ограничения, то для абонента действует сумма этих ограничений. Глава 6. Настройка изделия для работы с абонентами 173 Если окажется, что пароль абонента не соответствует заданным ограничениям, то абонент к работе с изделием не допускается. Установив значения параметров паспорта, следует выбрать альтернативу Записать (Рис. 6.4). Если параметры паспорта установлены без ошибок, программа управления зарегистрирует паспорт нового абонента. После создания абонента-администратора будет выдано предупреждение «Нет заданных прав доступа». 6.4.3. Права доступа Чтобы закончить создание абонента-администратора, следует в списке абонентов (Рис. 6.3, правый экран) перевести курсор на его имя и нажать комбинацию клавиш Рис. 6.6 Экран управления правами доступа абонента-администратора Чтобы разрешить администратору доступ к выполнению той или иной функции управления, следует перевести курсор в экране на ее обозначение и нажать клавишу 7. Организация функционирования кластера изделий 7.1. Общие сведения Изделие применяют в составе узлов ЗСПД с целью защиты информации, передаваемой между внутренними сегментами ЗСПД через сети общего пользования. При отказе функционирования отдельных блоков или устройств изделия обмен защищаемой информацией через данный узел ЗСПД может быть нарушен полностью или частично. В случаях, когда к надежности работы узла ЗСПД предъявляются повышенные требования (когда даже кратковременное нарушение обработки проходящего через узел трафика недопустимо), следует организовать работу изделий на таком ответственном узле ЗСПД в виде кластера – системы двух взаимосвязанных изделий, осуществляющих автоматическое резервирование работы друг друга. Одно из изделий в конкретный момент времени выполняет в составе кластера функции основного изделия (изделие со статусом MASTER), а другое – функции резервного (изделие со статусом SLAVE). При этом осуществляется постоянное взаимное отслеживание состояния обоих изделий в составе кластера. Примечание. Отметим, что не все модификации изделий серии М-479Рх поддерживают функционирование в режиме кластера. В штатном режиме работы кластера изделие MASTER выполняет всю обработку проходящего через узел ЗСПД трафика. В случае нарушения работы изделия MASTER обработку трафика автоматически продолжает изделие SLAVE , осуществляя тем самым т.н. горячее резервирование. Когда работоспособность изделия, временно потерявшего статус MASTER, возобновится, оно снова возьмет управление на себя, вернув себе прежний статус (MASTER) в составе кластера. Схема, поясняющая принципы организации кластера на основе изделий нового поколения, представлена на Рис. 7.1. БКО БКО БНМ БВМ MASTER SLAVE БНМ M A C 1 IP 1 M A C 2 IP 2 M A C 3 IP 3 «я жив» номера соединений вкл/выкл БВМ номера соединений « я ж и в» «я жив» Eth1 Eth1 Eth2 Eth2 Eth3 Eth3 н о м ер а со ед и н ен и й Рис. 7.1 Схема взаимодействия изделий нового поколения при функционировании в составе кластера Основным принципом организации работы кластера является то, что каждая из локальных сетей, подключаемых на узле ЗСПД к кластеру (независимо от того, относится локальная сеть к внутреннему или к внешнему сегменту ЗСПД), должна быть физически дважды подключена к соответствующим сетевым интерфейсам каждого из изделий, образующих кластер. При этом во время подготовки изделий к функционированию в составе кластера путем соответствующей настройки каждого из физических сетевых интерфейсов изделий должно быть обеспечено условие, когда в каждой из точек подключения изделий к сетям оба изделия кластера воспринимаются локальной сетью абсолютно идентичными с точки зрения адресации как на уровне L2, так и на уровне L3 модели OSI. Это достигается тем, что каждой паре соответствующих интерфейсов изделий в точках подключения изделий к Глава 7. Организация функционирования кластера изделий 175 соответствующим локальным сетям при настройке присваиваются попарно одинаковые МАС-адреса и одинаковые IP-адреса, а также на обоих соответствующих сетевых интерфейсах изделий, составляющих кластер, выполняются идентичные настройки параметров функционирования. Кроме того, оба изделия должны иметь идентичные конфигураторы параметров настройки, за исключением статуса изделий в составе кластера (MASTER или SLAVE). Другими словами, входящие в кластер два изделия реагируют на потоки данных из локальных сетей и взаимодействуют с сетями так, как будто с локальными сетями работает единственное изделие (оба изделия кластера работают как одно). При функционировании кластера SLAVE-устройство находится в режиме ожидания и только слушает соответствующие сети (через свои сетевые интерфейсы, подключенные к соответствующей сети), принимая к сведению всю информацию и никак на нее не реагируя. По внутренним сетевым интерфейсам, связывающим по технологической сети основное и резервное изделия кластера, изделие со статусом MASTER периодически посылает технологические сигналы (пакеты-извещения), смысл которых: «я жив». Изделие со статусом SLAVE, в свою очередь, тоже периодически посылает на изделие со статусом MASTER технологические пакеты «я жив». Кромесигнала «я жив» основное в кластере на текущий момент изделие передает на резервное актуальную информацию о параметрах (номерах) криптографических соединений для возможного последующего использования. Если изделие со статусом SLAVE в какой-то момент не получит в заданное время пакет-извещение от изделия со статусом MASTER, то оно возьмет управление на себя и будет функционировать в качестве основного до тех пор, пока изделие, временно потерявшее статус MASTER, не вернется в рабочее состояние и не сообщит об этом изделию со статусом SLAVE. Отметим еще раз, что оба изделия в составе кластера должны имеют одинаковые собственные IP-адреса блоков наружной и внутренней маршрутизации, а также одинаковые МАС-адреса и IP-адреса точек подключения – физических сетевых Ethernet-интерфейсов в каждой из подключенных к изделиям локальных сетей. Когда кластер образован изделиями нового поколения, они соединяются между собой в кластер технологической сетью между блоками внутренней маршрутизации изделий (см. Рис. 7.1), т.е. пакетами- извещениями обмениваются между собой БВМ изделий. При этом пакеты-извещения содержат информацию о состоянии изделия-отправителя в целом – о состоянии всех трех его компонентов: БВМ, БНМ и БКО. Получение необходимой информации о состоянии изделия организовано следующим образом. В изделии со статусом MASTER регулярно генерируются два вида периодических посылок: от БНМ к БВМ и от БВМ к БНМ. Получение посылки является сигналом, что партнер (другой блок маршрутизации изделия) функционирует в штатном режиме – «жив». Посылки между блоками маршрутизации внутри изделия передаются через шифратор – БКО, поэтому БВМ, получив сигнал от БНМ, косвенно получает информацию о том, что шифратор также функционирует в штатном режиме («жив»). БВМ изделия со статусом MASTER периодически опрашивает шифратор о значениях текущих номеров криптографических соединений. Полученную от шифратора информацию о текущих номерах соединений БВМ этого изделия объединяет с информацией о состоянии трех компонентов криптомаршрутизатора (БВМ, БНМ и БКО), упаковывает все в пакет-извещение и отправляет его на БВМ резервного изделия (на SLAVE). В изделии со статусом SLAVE также регулярно генерируются посылки сигналов от БНМ к БВМ и от БВМ к БНМ. При этом посылка от БНМ к БВМ содержит сигнал «я жив», а посылка от БВМ к БНМ содержит сигнал включения/выключения изделия, т.е. сигнал о переводе резервного изделия из состояния SLAVE в состояние MASTER или обратно. При этом на изделии со статусом SLAVE непрерывно актуализируются значения номеров соединений, получаемых от изделия со статусом MASTER. 7.2. Настройка изделий для запуска кластера Настройка изделий кластера состоит из нескольких шагов: - настройка изделия, которое будет выполнять в кластере функции изделия со статусом MASTER; - сохранение настроенного конфигуратора этого изделия в объединенной базе параметров БпО; - копирование настроенного конфигуратора изделия со статусом MASTER на съемный машинный носитель и восстановление этого конфигуратора со съемного машинного носителя в качестве текущего конфигуратора на изделии, которое в кластере будет выполнять функции изделия со статусом SLAVE. Подробнее процесс настройки изделий при подготовке их к функционированию в составе кластера рассмотрим на примере схемы взаимодействия, представленной на Рис. 7.1. 176 Глава 7. Организация функционирования кластера изделий При настройке должны быть выполнены следующие действия. 1. В изделии со статусом MASTER присвоить значения параметрам Собственный IP-адрес наружного маршрутизатора и Собственный IP-адрес внутреннего маршрутизатора (раздел 4.1.2, с. 130). 2. В изделии MASTER сетевой физический Ethernet-интерфейс БВМ, который технологически связывает в кластере блоки внутренней маршрутизации изделий MASTER и SLAVE, создается и настраивается как стандартный физический Ethernet-интерфейс (см. раздел 2.3.1, с. 25). Имя интерфейса – например, Eth0 (согласно обозначениям на схеме взаимодействия Рис. 7.1). Специальные настройки – на этом физическом интерфейсе следует установить двум параметрам значения, отличные от приведенных по умолчанию, а именно: снять запрет на обработку Cluster- пакетов (символ «*» справа от параметра должен отсутствовать) и запретить обработку транзитных датаграмм (символ «*» справа от параметра должен присутствовать). Значения параметров по умолчанию бланка управления специальными настройками интерфейса приведены на Рис. 2.8, с. 28 или Рис. 2.38, с. 50. Дополнительные параметры – в качестве значения параметра MAC-адрес интерфейса можно установить физический адрес Ethernet-адаптера или произвольное число (в нужном формате). Примечание. Нулевое значение параметру MAC-адрес при настройке интерфейсов изделий, подготавливаемых к работе в составе кластера, устанавливать нельзя, т.к., напомним, при нулевом значении этого параметра считывается значение MAC-адреса из Ethernet-адаптера, заданное при его изготовлении, а при организации работы кластера оба изделия (MASTER и SLAVE ) должны иметь одинаковые значения МАС-адресов точек подключения к соответствующей локальной сети (см. раздел 2.3, Рис. 2.9, с. 29 и раздел 2.3.2, Рис. 2.16, с. 34). 3. Прочие сетевые интерфейсы в изделии со статусом MASTER, которые связывают изделие MASTER с локальными сетями внутреннего и внешнего сегментов ЗСПД, создаются и настраиваются как стандартные физические Ethernet-интерфейсы (см. раздел 2.3.1, с. 25) или L2–Eth-интерфейсы (см. раздел 2.3.2, с. 33). Имена интерфейсов – например, Eth1 и Eth2 (согласно схеме взаимодействия Рис. 7.1). Специальные настройки – оставить стандартные (по умолчанию) значения всех параметров. Исключение составляет параметр контроль в кластере − с его помощью можно включить контроль активности интерфейса любого типа. Если параметру присвоить значение ДА (справа от параметра поставить символ «*»), то при отключении (потере активности) такого интерфейса основное изделие в составе кластера ( |