Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Ведущий интерфейс). В качестве ведущего администратор может указать любой сетевой интерфейс изделия. При пропадании сигнала LINK на ведущем интерфейсе программа управления принудительно погасит сигнал LINK на связанном с ним L2–Eth-интерфейсе. При пропадании сигнала LINK у L2–Eth-интерфейса коммутатор в локальном сегменте ЛВС Пользователя прекратит передачу трафика по вышедшему из строя тракту и продолжит обмен с изделием защиты по резервному тракту (при его наличии). При обнаружении восстановления сигнала LINK у ведущего интерфейса программой управления будет поднят сигнал LINK и у связанного с ведущим L2–Eth-интерфейса. Коммутатор, определив, что работоспособность L2–Eth-интерфейса восстановлена, вернется к работе с изделием по основному тракту. Если в качестве ведущего интерфейса для L2–Eth-интерфейса указать соответствующий ему L2–TNL- интерфейс и на этом туннельном интерфейсе включить механизм автоматического контроля его готовности с помощью механизма KEEPALIVE (см. раздел 2.4.2, с. 39, Рис. 2.25), то в случае идентификации состояния неготовности L2–TNL-интерфейса программой управления автоматически будет установлен в состояние неготовности и L2–Eth-интерфейс – будет принудительно погашен сигнал LINK на его порту. Целесообразно указывать работающий в режиме самоконтроля L2–TNL-интерфейс в качестве ведущего для связанного с ним L2–Eth-интерфейса, т.к. при этом с помощью отправляемых локальным изделием по L2- туннелю зондирующих запросов будет регулярно проверяться состояние готовности всего тракта передачи данных с удаленной стороной. Особенно актуально применение описанного выше механизма контроля работоспособности тракта передачи данных в случаях, когда имеет место взаимодействие между сетевыми устройствами по дублируемым каналам связи. Поддержка L2–Eth-интерфейсом частичного обмена IP-датаграммами на L3 уровне. Настраивая L2–Eth-интерфейс, можно его основные функции поддержки обмена Ethernet-кадрами на L2 уровне опционально дополнить функцией частичной поддержки обмена IP-датаграммами на L3 уровне. Если, организовав с помощью L2-интерфейсов защищенный обмен данными на L2-уровне, ограничиться поддержкой L2–Eth-интерфейсом только его основной функции – обеспечения обмена Ethernet-кадрами на L2- уровне, то можно потерять возможность использования и применения некоторых полезных инструментов и функций, обеспечиваемых интерфейсами изделия на L3-уровне: например, для сетевых устройств локального сегмента ЛВС будет отсутствовать возможность контроля готовности L2–Eth-интерфейса с помощью процедуры PING, будет отсутствовать возможность использования сервисов, предоставляемых службами БВМ изделия – службами DNS, DHCP, SNTP, SNMP и пр., будет отсутствовать реакция изделия на запросы согласно ARP-протоколу и т.д. При отсутствии поддержки L2–Eth-интерфейсом обработки IP-датаграмм на L3-уровне для обеспечения возможности использования указанных сервисов пришлось бы на этом же направлении обмена в сети создавать дополнительный Ethernet-интерфейс БВМ изделия, обеспечивающий обработку IP-датаграмм на L3-уровне, подключать к этому интерфейсу соответствующий дополнительный сетевой кабель, задействовав на коммутаторе в локальном сегменте ЛВС дополнительный порт (гнездо) для его подключения, использовать дополнительные ресурсы БВМ изделия на работу дополнительного интерфейса. Но даже ценой перечисленных затрат цель при таком техническом решении достигнута не будет, т.к., например, при использовании процедуры PING со стороны коммутатора мы будем тестировать состояние совсем другого интерфейса изделия (другого порта Ethernet-адаптера), через другой сетевой кабель, через другой порт (гнездо) коммутатора, т.е. с помощью процедуры PING будем тестировать совсем другой комплект программно- аппаратных средств сети и изделия. Поэтому кроме основной функции по обеспечению обмена Ethernet-кадрами на L2-уровне L2–Eth-интерфейсом дополнительно поддерживается функция частичной поддержки обмена IP-датаграммами на L3-уровне. Частичной поддержка обмена на L3-уровне является потому, что с ее помощью нельзя выполнить удаленную маршрутизацию (т.е. нельзя пришедшие на L2–Eth-интерфейс из локального сегмента ЛВС IP-датаграммы 234 Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС передать на противоположную сторону). Другими словами, обработка пришедших на L2–Eth-интерфейс IP- датаграмм заканчивается их обработкой службами (DHCP, DNS, SNTP и пр.) или сервисами (PING, ARP и т.д.) БВМ изделия. Особенности работы физических L2- и L3-интерфейсов изделия Представленная на Рис. В.2 схема иллюстрирует особенности работы сетевых физических интерфейсов типа L2–Eth и Ethernet, знать которые полезно при планировании применения изделий в составе ЗСПД. Службы (сервисы) L2-Eth Внутренний интерфейс L3 L2 Маршрутизатор внутренний Локальное изделие L3 L3 Ethernet L2-TNL TNL L2 Да/L3 Нет/Сброс L2 Вход Ethernet Выход Выход Вход В канал связи К ЛВС IP? ARP? Маршрутизатор наружный Выход Вход К ЛВС Шифратор Решение? Рис. В.2 Схема обработки трафиков сетевыми физическими интерфейсами типа L2–Eth и Ethernet L2–Eth-интерфейс. При настройке L2–Eth-интерфейса может быть включена функция частичной поддержки обмена IP-датаграммами на L3-уровне (см. раздел 2.3.2, с. 33), работу которой поясняет схема на Рис. В.2. Примечание. Напомним, что заголовок Ethernet-кадра содержит поле Тип данных, содержимое которого определяет тип транспортируемых этим Ethernet-кадром инкапсулируемых в кадр данных. Если поле Тип данных содержит значение 0x0806, то Ethernet-кадр транспортирует данные, обрабатываемые с помощью ARP-протокола. Если поле Тип данных содержит значение 0x0800, то Ethernet-кадр транспортирует данные, обрабатываемые с помощью IP-протокола – IP-датаграммы. Принимаемый L2–Eth-интерфейсом из защищаемой ЛВС Пользователя входящий трафик Ethernet-кадров проверяется интерфейсом на корректность формата и отсутствие искажений при передаче по каналу ЛВС. Далее программой управления работой L2–Eth-интерфейса принимается решение (см. Рис. В.2) о дальнейшем использовании принятого Ethernet-кадра: 1. Если MAC-адрес получателя (см. раздел 2.4.1, с. 36) у принятого Ethernet-кадра представляет собой специальный широковещательный адрес (MAC-адрес равен значению: ff:ff:ff:ff:ff:ff), то: если Ethernet-кадр не транспортирует пакет, обрабатываемый с помощью ARP-протокола (поле Тип данных не содержит значение 0x0806), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне; если Ethernet-кадр транспортирует пакет, обрабатываемый с помощью ARP-протокола (поле Тип данных содержит значение 0x0806), то: - если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом L2–Eth-интерфейса (т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне; - если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом L2–Eth-интерфейса (т.е. имеет место случай, когда кадр уже доставлен по сети получателю), то транспортируемый Ethernet-кадром ARP-запрос извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3- уровне; БВМ через внутренний интерфейс маршрутизатора отправляет ARP-запрос на обработку собственным сервисам; результаты обработки (например, пакеты Eho- replay в ответ на запросы Eho-request) маршрутизируются БВМ назад в тот L2– Eth-интерфейс, по которому пришел запрос на обслуживание. 2. Если MAC-адрес получателя принятого Ethernet-кадра не представляет собой unicast-адрес, то: Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 235 если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом L2–Eth-интерфейса (т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне; если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом L2–Eth-интерфейса (т.е. кадр доставлен по сети получателю), содержимое Ethernet-кадра извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3-уровне. 3. Если MAC-адрес получателя принятого Ethernet-кадра представляет собой unicast-адрес, то: если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом L2–Eth-интерфейса (т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне; если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом L2–Eth-интерфейса (т.е. кадр доставлен по сети получателю), содержимое Ethernet-кадра извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3-уровне. Попавшие из принятого L2–Eth-интерфейсом на обработку L3-уровнем извлеченные из Ethernet-кадров IP- датаграммы попадают в БВМ изделия, который через внутренний интерфейс маршрутизатора отправляет их на обработку собственным службам или сервисам. Результаты обработки (например, пакеты Eho-replay в ответ на запросы Eho-request) маршрутизируются БВМ назад в тот L2–Eth-интерфейс, по которому пришел запрос на обслуживание. L2–Eth-интерфейс инкапсулирует сформированные службами (сервисами) ответные IP-датаграммы в соответствующие Ethernet-кадры и передает в ЛВС Пользователя для рабочей станции- получателя, выдавшей запрос на обслуживание. Подчеркнем, что эта ветвь алгоритма обработки работает только в том случае, когда включена частичная поддержка L2–Eth-интерфейсом обмена IP-датаграммами на L3- уровне. Частичной поддержка обработки на L3-уровне L2–Eth-интерфейсом является потому, что IP- датаграммы, пришедшие на обработку из этого интерфейса, не могут быть переданы (промаршрутизированы) на удаленную сторону, поддержка L3-уровня ограничивается обработкой IP-датаграмм службами или сервисами БВМ изделия. Таким образом, в силу того, что L2–Eth-интерфейс может поддерживать частичный обмен IP-датаграммами на L3-уровне, абонентам ЛВС Пользователя на L2-уровне становятся доступны возможности, предоставляемые службами и сервисами БВМ изделия. Каждый из Ethernet-кадров, поступивший из ЛВС Пользователя на L2–Eth-интерфейс и направленный программой управления в связанный при настройке с данным L2–Eth-интерфейсом L2–TNL-интерфейс подвергается стандартным для криптотуннелей описанным ранее преобразованиям в шифраторе изделия. Далее он поступает на БНМ изделия, где маршрутизируется в нужный Ethernet-интерфейс, упаковывается в транспортную IP-датаграмму и отправляется адресату через сеть общего пользования. Примечание. Приведенный порядок обработки трафика L2–Eth-интерфейсом справедлив для одиночных Ethernet-кадров. При реализации алгоритма аппаратного фрагментирования- слияния Ethernet-кадров картина выглядит несколько иначе, но общий порядок обработки трафика сохраняется. Ethernet-интерфейс. Ethernet-интерфейсы изделия обеспечивают полнофункциональную обработку IP- датаграмм на L3-уровне, порядок которой поясняет схема на Рис. В.2. Принимаемый Ethernet-интерфейсом из защищаемой ЛВС Пользователя трафик Ethernet-кадров проверяется интерфейсом на корректность формата и отсутствие искажений при передаче по каналу ЛВС. У принятых интерфейсом прошедших контроль Ethernet-кадров отбрасываются выполнившие свою транспортную функцию заголовки и контрольные суммы из состава фрейма L2-уровня. Далее анализируется поле Тип данных Ethernet-кадра: если значение поля равно 0x0806 (Ethernet-кадр транспортирует ARP-пакет) или 0x0800 (Ethernet-кадр транспортирует IP-пакет), то выполняется дальнейшая обработка Ethernet-кадра; при прочих значениях поля Тип данных Ethernet-кадр считается ошибочным, он бракуется и его обработка Ethernet-интерфейсом изделия прекращается. Если Ethernet-кадр транспортирует IP-пакет или ARP-пакет, пакет извлекается из выполнившего транспортную функцию Ethernet-кадра и отправляется на маршрутизацию в маршрутизатор изделия, к которому относится принявший кадр Ethernet-интерфейс (на схеме Рис. В.2 – БВМ). ARP-пакет через внутренний интерфейс соответствующего маршрутизатора попадает на обработку соответствующим сервисом маршрутизатора. После маршрутизации подлежащая передаче удаленному получателю IP-датаграмма, подвергаясь необходимым преобразованиям шифратором, упаковывается в криптотуннель, инкапсулируется в транспортную IP- датаграмму и передается в соответствующий Ethernet-интерфейс маршрутизатора изделия для отправки в сеть. Исключение составляют только IP-датаграммы, перенаправляемые маршрутизатором через собственный внутренний интерфейс соответствующим службам (сервисам) маршрутизатора. Таким образом, особенностью обработки IP-датаграмм является то, что из всего потока информации, поступившей из сети на Ethernet-интерфейс изделия, на обработку маршрутизатором, выполняемую на L3- уровне, попадают только IP-пакеты или ARP-пакеты. Ethernet-кадры, поступившие на вход физического 236 Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС Ethernet-интерфейса изделия, транспортирующие информацию, не являющуюся датаграммой, обрабатываемой протоколами IP или ARP, изделием игнорируются. Фрагментирование-слияние Ethernet-кадров при обмене на L2-уровне. При обработке трафика, поступающего на вход сетевых физических интерфейсов изделия, работающих по технологии Ethernet, необходимо учитывать следующее: - на обработку и коротких, и длинных Ethernet-кадров, поступающих из сети, изделием затрачивается примерно одинаковое время, поэтому при обработке трафика коротких Ethernet-кадров эффективная пропускная способность интерфейсов изделия заметно снижается; - работающие по технологии Ethernet сетевых физические интерфейсы изделия не могут работать ни на прием, ни на передачу с Ethernet-кадрами, длина которых превышает 2 Кбайта. При этом Пользователю необходимы характеристики изделия, обеспечивающие при обмене на L2-уровне высокую эффективную пропускную способность как при обработке длинных, так и при обработке коротких Ethernet-кадров. Кроме того, изделия должны обрабатывать джамбо-фреймы (jumbo frame) – Ethernet-кадры, длина которых существенно превышает определяемые ограничениями Ethernet-технологии пороговые 2 Кбайта. Указанные требования обработки трафика Ethernet-кадров могут быть обеспечены изделием в двух вариантах – на программном и на аппаратном уровнях. На программном уровне принятое из сети L2–Eth-интерфейсом множество коротких Ethernet-кадров, прежде чем быть переданными в тракт дальнейшей обработки изделием (зашифрование, маршрутизация, инкапсуляция и пр.), упаковываются в один, называемый контейнером. Далее контейнер обрабатывается локальным изделием как один Ethernet-кадр, через сети общего пользования передается на удаленное изделие, где проходит необходимую обработку, распаковывается, и из него извлекается множество исходных коротких Ethernet-кадров, которые передаются получателям в ЛВС Пользователя. В результате производительность тракта передачи данных возрастает в разы. Отметим, что на программном уровне реализуется только одна из функций алгоритма – слияние. Для реализации алгоритма фрагментирования-слияния Ethernet-кадров на программном уровне следует при настройке физического L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15) параметру Слияние (см. Рис. 2.15, с. 33) присвоить значение ПРОГР. На аппаратном уровне выполняются обе функции алгоритма фрагментирования-слияния Ethernet-кадров. Причем их реализация осуществляется до передачи адаптером полученного из сети обработанного трафика в шину УВП БВМ, что дополнительно сокращает время обработки очередной порции сетевого трафика как на локальном изделии, так и на удаленном. Аппаратурой Ethernet-адаптера выполняется следующее: - если на вход L2–Eth-интерфейса из сети поступают короткие Ethernet-кадры, они накапливаются и упаковываются в контейнер, который по заполнении передается адаптером в шину УВП БВМ; Примечание. Длина Ethernet-кадра, по сравнению с которой пришедший из сети кадр считается программой управления коротким, регулируется при настройке L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15). - если на вход L2–Eth-интерфейса из сети поступает Ethernet-кадр, длина которого превышает значение установленного для интерфейса MTU (Maximum-Transmission-Unit) – jumbo-фрейм – аппаратура Ethernet- адаптера нарезает этот гигантский кадр на фрагменты, помещаемые в контейнер, длина которого не превышает значения MTU интерфейса, после чего контейнеры передаются на шину УВП БВМ. Пройдя необходимые стадии обработки на локальном изделии, контейнеры, наполненные короткими Ethernet- кадрами или фрагментами jumbo-фреймов передаются на удаленное изделие, где в результате необходимых обратных преобразований из контейнеров будут извлечены и направлены получателям исходные короткие Ethernet-кадры или фрагменты, из которых будет восстановлен исходный jumbo-фрейм. Для реализации алгоритма фрагментирования-слияния Ethernet-кадров на аппаратном уровне следует при настройке физического L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15) параметру Слияние (см. Рис. 2.15, с. 33) присвоить значение |