Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

Глава 10 Главное меню. Альтернатива Сервис 203
Рис. 10.12 Фрагмент экрана с информацией об изделии
10.6.
Сервис  Рестарт интерфейсов
Выбор цепочки альтернатив ГМ: Сервис

Рестарт интерфейсов (Рис. 10.1) приводит к непосредственному исполнению команды на рестарт сетевых интерфейсов маршрутизатора изделия.
При выборе цепочки альтернатив прекращается работа всех сетевых интерфейсов маршрутизатора, после чего выполняется их повторный запуск. Кроме того, все оборудование, подключенное к интерфейсам, получает сигнал о выполнении рестарта.
Команда может понадобиться, если после внесения изменений в настройки интерфейсов по каким-либо причинам не будет выполнен автоматический рестарт.
10.7.
Сервис  Экспорт настроек / Импорт настроек
Выбор цепочки альтернатив ГМ: Сервис

Экспорт настроек (Рис. 10.1) позволяет скопировать все выполненные ранее настройки изделия – текущее состояние конфигуратора изделия, представляющего собой набор файлов – на съемный UCB FLASH-диск, предварительно подключенный к соответствующему разъему USB-устройства ввода/вывода – выполнить экспорт конфигуратора изделия.
Выбор цепочки альтернатив ГМ: Сервис

Импорт настроек (Рис. 10.1) позволяет перенести требуемый вариант настройки конфигуратора изделия со съемного UCB FLASH-диска, предварительно подключенного к соответствующему разъему USB-устройства ввода/вывода – выполнить импорт конфигуратора.
Перед выполнением обеих операций (экспорта и импорта конфигуратора) будет выдан стандартный запрос, аналогичный приведенному, например, наРис. 4.21,с.144, позволяющий указать файл (выбрать из уже существующих на USB-устройстве или создать новый).
Экспорт настроек можно выполнить из любого блока маршрутизации, наружного или внутреннего.
Импорт настроек можно выполнить только из блока наружной маршрутизации БНМ; при этом программа управления выдаст запрос на разрешение записи конфигуратора изделия в память шифратора – БпО.
Разрешение на запись конфигуратора должен выдать администратор изделия соответствующей командой, выдаваемой с помощью средств управления БКО (подробнее см. РЭ на конкретное изделие).
Примечание. Экспорт и импорт конфигуратора эффективен, например, при переносе конфигуратора с изделия со статусом MASTER на изделие со статусом SLAVE при работе изделий в составе кластера криптомаршрутизаторов (см.раздел7,с.174).

11.
Работа изделия в режиме Администратор сети
Изделие может функционировать в качестве средства удаленного управления в составе Центра удаленного администрирования (ЦУА) ЗСПД, позволяющего управлять аналогичными криптомаршрутизаторами
(изделиями, исполненными в двухсегментной архитектуре технологии DioNIS® – криптомаршрутизаторами серии М-479Рх) и частично криптомаршрутизаторами семейства М-479 (изделиями, исполненными в
односегментной архитектуре технологии DioNIS®). Число управляемых изделий практически не ограничено).
При работе изделия в составе ЦУА в качестве технологического средства удаленного управления используется реализованный в составе изделия компонент Администратор сети.
Примечание. Организация доступа управляющего изделия к управляемому для выполнения различных функций управления на каждом из его маршрутизаторов (БНМ и БВМ) подробно рассмотрена в разделе1.3.3,с.12. Отметим, что доступ для удаленного управления блоком наружной маршрутизации управляемого изделия обеспечивается только из БНМ управляющего изделия, а доступ для удаленного управления БВМ управляемого изделия обеспечивается только из БВМ управляющего изделия.
Криптомаршрутизаторы серии М-479Рх обеспечивают выполнение следующих функций удаленного управления.
1. Управляющее изделие с помощью специального транспортного протокола DCP может считать
конфигуратор (все параметры настройки) любого управляемого криптомаршрутизатора и загрузить его в свою базу конфигураторов управляемых криптомаршрутизаторов ЗСПД, а также может извлечь из этой базы необходимый вариант конфигуратора и отправить его управляемому изделию для загрузки с целью его перенастройки. Редактирование базы конфигураторов на управляющем изделии выполняется в отсутствие связи с управляемыми изделиями.
Примечание. Функция доступна только из БНМ управляющего изделия.
2. На управляющем изделии можно получить копии журналов работы и сведения о статистике работы каждого из маршрутизаторов управляемого изделия.
3. Реализована функция управления блоком наружной или блоком внутренней маршрутизации управляемого изделия в режиме удаленной консоли.
Для обеспечения криптографической защиты канала управления на управляющем и на управляемом изделиях должны быть загружены два вида ключей: ключи канала данных и ключи канала управления.
Примечание. Серия ключей, загружаемых в изделия как ключи канала управления, не может использоваться изделием с другими целями.
При удаленном управлении блоком наружной маршрутизации криптографическая защита канала управления реализуется на ключах управления. При управлении блоком внутренней маршрутизации канал управления криптографически защищен штатным криптотуннелем, работающем на ключе канала данных.
Ключевые документы доставляются на объекты эксплуатации изделий на отдельных ключевых носителях и применяются согласно требованиям документа «Правила пользования» и руководства по эксплуатации на конкретное изделие.
При подготовке к процессу удаленного управления на каждом управляющем изделии должен быть сформирован список описателей объектов управления и каждому управляемому изделию в составе ЗСПД должен быть поставлен в соответствие один из описателей.
В общем случае на управляющем изделии должно быть сформировано два списка описателей: один список должен быть сформирован на БВМ управляющего изделия для реализации управления всеми БВМ управляемых изделий, другой список − на БНМ управляющего изделия для реализации управления всеми БНМ управляемых изделий
Примечание. Необходимость иметь два списка описателей вызвана следующим. Всякую ЗСПД можно рассматривать как два сегмента: транспортный (сегмент сети общего пользования, в которых информация Пользователя циркулирует в защищенном виде) и сегмент Пользователя
(локальные сети Пользователя, в которых информация Пользователя циркулирует в
незащищенном виде). Обмен потоками данных между этими двумя сегментами осуществляется
исключительно через шифраторы изделий защиты. Получить доступ к информации, циркулирующей в этих двух сегментах, с одного и того же устройства ЗСПД невозможно, поэтому для реализации управления в масштабе всей ЗСПД необходимо рассматривать два самостоятельных контура процесса управления – внутренний и внешний.
В масштабе ЗСПД фактически должно быть организовано функционирование двух систем управления: в одной из них объектами управления являются БВМ всех управляемых изделий
(на БВМ управляющего изделия должен быть создан список всех БВМ управляемых изделий); в другой − объектами управления являются БНМ всех управляемых изделий (на БНМ управляющего изделия должен быть создан список всех БНМ управляемых изделий).

Глава 11. Работа изделия в режиме Администратор сети 205
11.1.
Начало работы
Чтобы получить возможность управлять удаленными изделиями в составе ЗСПД, следует средство удаленного управления в составе ЦУА – одно из изделий серии М-479Рх – перевести в режим Администратор сети.
Для этого надо на каждом из маршрутизаторов изделия выбрать цепочку альтернатив ГМ: Консоль  Режим и в появившемся на видеомониторе ЛКУ меню (Рис. 8.6, с. 183) выбрать значение Администратор сети
(подробнее см. раздел 8.4, с. 183). Возможность переключения в этот режим защищена своим паролем (не связанным с паролем для перевода в режим Администратор узла).
После ввода пароля администратора сети на видеомонитор ЛКУ будет выдан экран управления списком описателей управляемых изделий, аналогичный представленному на Рис. 11.1.
Средняя часть экрана содержит список всех ранее созданных описателей изделий защиты в составе ЗСПД, удаленное управление которыми осуществляется данным управляющим изделием.
Изначально список описателей пустой.
Рис. 11.1 Экран управления списком описателей управляемых изделий
Каждый описатель управляемого изделия занимает в списке одну строку и содержит идентификатор (номер) описателя (под заголовком #), IP-адрес управляемого изделия (под заголовком IP-адрес) и имя описателя
(под заголовком Имя) – подробнее см. ниже (раздел 11.2, с. 206).
Enter – обслуживание (Рис. 11.1). Для выполнения операций удаленного управления тем или иным изделием следует в списке (Рис. 11.1) перевести курсор на строку с соответствующим описателем и нажать клавишу . На видеомонитор ЛКУ будет выдан экран управления удаленным изделием, аналогичный представленному на Рис. 11.6. Описание выполняемых с помощью этого экрана операций управления приведено ниже – раздел11.3,с.207.
F2 – сервис ключей (Рис. 11.1). В списке описателей управляемых изделий перевести курсор на строку с описателем нужного изделия и нажать клавишу . На видеомонитор ЛКУ будет выдан экран управления загруженными ключами управляемого изделия, аналогичный представленному на Рис. 11.10, с. 210. Экран позволяет выполнить различные операции обслуживания ключевой информации, загруженной на управляемом изделии (подробнее см. ниже – раздел 11.4.с.210).
F3 – экспорт (Рис. 11.1). Операция служит для копирования (экспорта) конфигуратора управляемого изделия на съемный носитель, подключенный к управляющему изделию. Предварительно следует подключить съемный носитель и затем в списке описателей управляемых изделий перевести курсор на строку с описателем нужного изделия и нажать клавишу . На видеомонитор ЛКУ будет выдан экран выбора устройств для подключения съемных носителей, аналогичный представленному на Рис. 4.21. С помощью этого экрана, управляя файловой структурой съемного носителя, следует выбрать директорию, в которую будет выполнено копирование, и нажать клавишу – в ответ будет выполнен запуск процедуры экспорта.
Alt+F3 – импорт (Рис. 11.1). Операция служит для копирования конфигуратора изделия со съемного носителя, предварительно подключенного к управляющему изделию, в хранилище конфигураторов на управляющем изделии. В списке описателей управляемых изделий следует переместить курсор на строку с нужным описателем и нажать комбинацию клавиш . На видеомонитор ЛКУ будет выдан экран выбора устройств для подключения съемных носителей, аналогичный представленному на Рис. 4.21. С помощью этого экрана, управляя файловой структурой съемного носителя, следует выбрать директорию, содержащую требуемый конфигуратор, и нажать клавишу – в ответ будет выполнен запуск процедуры импорта.
F7 – создать (Рис. 11.1). Для создания описателя нового объекта управления следует нажать клавишу , после чего на видеомонитор ЛКУ будет выдан бланк создания и настройки описателя объекта управления, представленный на Рис. 11.3 (подробнее см. раздел11.2,с.206).
F4 – редактировать (Рис. 11.1). Чтобы изменить (отредактировать) параметры имеющегося в списке объекта управления, надо переместить курсор на строку списка с соответствующим описателем и нажать клавишу .

206
Глава 11. Работа изделия в режиме Администратор сети
На видеомонитор ЛКУ будет выдан бланк создания и настройки описателя объекта управления (Рис. 11.3), в котором следует отредактировать значения ранее внесенных параметров.
F8 – удалить (Рис. 11.1). После нажатия клавиши будет выдан дополнительный запрос, и при условии подтверждения будет удален описатель, на строку с которым в списке был установлен курсор.
F6 – перенести (Рис. 11.1). После первого нажатия клавиши указанная курсором строка в списке выделяется белым цветом. Далее можно переместить курсор на любую строку и повторно нажать клавишу
. Отмеченный ранее описатель будет перемещен под строку, на которой был установлен курсор в момент повторного нажатия клавиши .
Замечание. Между первым и вторым нажатиями клавиши можно пользоваться только клавишами перемещения курсора. Нажатие другой функциональной клавиши из списка операций в нижней части экрана (Рис. 11.1) сбросит отметку подлежащей переносу строки.
F5 – в текст.файл (Рис. 11.1). При нажатии клавиши весь список описателей (Рис. 11.1) может быть преобразован в текстовый формат и записан в файл на съемный носитель (FLASH-диск). Предварительно программа управления запрашивает имя файла.
Alt+F7 – из текст.файла (Рис. 11.1). Операция служит для корректировки списка управляемых изделий с помощью списка из файла. При нажатии клавиш программа управления запрашивает имя текстового файла со списком и выдает запрос, представленный на Рис. 11.2.
Рис. 11.2 Запрос на уточнение варианта корректировки списка управляемых изделий
При ответе на запрос Да новый набор описателей из файла заменит старый список описателей. При ответе Нет
– новые описатели из файла будут добавлены к описателям управляемых изделий, имеющимися в списке.
11.2.
Создание описателей объектов управления
Внимание! Список описателей для управления блоками наружной маршрутизации управляемых изделий формируется на БНМ управляющего изделия ЦУА; список описателей для управления блоками внутренней маршрутизации управляемых изделий формируется на БВМ управляющего изделия ЦУА.
Для создания описателя объекта управления следует в списке (Рис. 11.1) нажать клавишу , получить бланк создания и настройки (Рис. 11.3) и настроить значения параметров объекта управления, используя этот бланк.
Рис. 11.3 Бланк создания и настройки описателя объекта управления
Идентификатор (Рис. 11.3). Значением параметра является целое число, под которым изделие заносится в базу управляемых изделий. В базе содержатся сведения обо всех изделиях, которыми предполагается управлять. Идентификатор должен быть уникальным, уникальность проверяет программа управления.
Идентификатор в дальнейшем изменить нельзя.
Имя (Рис. 11.3). Значением параметра является произвольная алфавитно-цифровая строка длиной не более 32 символов.
IP-адрес (Рис. 11.3). Значением параметра должен быть IP-адрес сетевого интерфейса (или собственный
IP-адрес) соответствующего блока маршрутизации управляемого узла.
Режим связи (Рис. 11.3). Параметр определяет способ защиты канала управления. Значение параметра может принимать значения:
-
криптографический – для управления БНМ (канал управления шифруется на ключах управления);
-
только аутентификация – для управления БВМ (канал управления защищен туннелем, требуется только аутентификация).

Глава 11. Работа изделия в режиме Администратор сети 207
Ключ канала управления (Рис. 11.3). Альтернатива доступна только при подключении блока ЛКУ к БНМ управляющего изделия. При ее выборе на видеомонитор ЛКУ будет выдан представленный на Рис. 11.4 бланк настройки ключа канала управления.
Рис. 11.4 Бланк настройки ключа канала управления
Номер серии (Рис. 11.4). Значением параметра является целое десятичное число, равное номеру серии ключей, используемой для шифрования потока управления.
Номер узла (Рис. 11.4). Значением параметра является целое число (до 5 цифр), равное криптографическому номеру ключа этой серии управляемого изделия.
Номер центра управления (Рис. 11.4). Значением параметра является целое число (до 5 цифр), равное криптографическому номеру ключа этой серии на управляющем изделии в составе ЦУА ЗСПД.
Реквизиты аутентификации (Рис. 11.3). Альтернатива доступна только при подключении блока ЛКУ к
БВМ управляющего изделия. При ее выборе на видеомонитор ЛКУ будет выдан бланк настройки параметров аутентификации (Рис. 11.5), с помощью которого необходимо настроить следующие параметры:
Рис. 11.5 Бланк настройки параметров аутентификации при управлении БВМ