Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Скорость приема, отличное от нуля. При нулевом значении параметра Скорость приема скорость обработки интерфейсом поступающего из сети трафика искусственно не ограничивается; при этом механизм обработки интерфейсом входящего трафика с учетом приоритета входящих IP-датаграмм не запускается и все поступающие из сети порции информации обрабатываются интерфейсом в порядке их следования. Если указано отличное от нуля – пороговое – значение параметра Скорость приема, включается механизм обработки интерфейсом входящего трафика с учетом приоритета входящих IP-датаграмм (значение подполя IPP поля ToS в заголовке IP-датаграммы). При этом: - если скорость потока входящего трафика IP-датаграмм на интерфейсе не превышает порогового значения параметра Скорость приема, то обработка трафика выполняется без учета анализа приоритета входящих IP-датаграмм; - если скорость потока входящего трафика интерфейса превысила пороговое значение параметра Скорость приема , то включается механизм обработки интерфейсом входящего трафика IP-датаграмм с учетом приоритета (значения подполя IPP поля ToS в заголовке IP-датаграммы), работа которого заключается в следующем: - если значение подполя IPP поля ToS в заголовке IP-датаграммы равно нулю, ее дальнейшая обработка прекращается; - если значение подполя IPP поля ToS в заголовке IP-датаграммы не равно нулю, то осуществляется дальнейшая обработка IP-датаграммы в порядке ее следования маршрутизатором изделия, которому принадлежит сетевой интерфейс. Примечание. Отметим, что выбор значений параметров Скорость передачи и Скорость приема зависит от реальной пропускной способности трактов передачи данных, характера компонентов трафика, образующих общий соответственно исходящий или входящий поток интерфейса и подбор его величины зависит от множества факторов, которые администратору изделия следует учитывать в зависимости от приоритетов, устанавливаемых Администрацией ЗСПД для выполнения решаемых сетью задач по продвижению трафика, генерируемого различными приложениями Пользователя. Приоритетная обработка IP-трафика на входе шифратора. Механизмы качества обслуживания, реализованные различными сетевыми устройствами, выполняют анализ требований, предъявляемых каждым из видов трафика, и, по возможности, предоставляют соответствующие результатам анализа значения параметров продвижения данного вида трафика по сети, касающиеся вопросов потери пакетов, их задержки, вариации задержки (джиттера) и т.д. Качество передачи информации напрямую зависит от этих параметров. К защищенному трафику, циркулирующему в ЗСПД между изделиями защиты, предъявляются дополнительные специальные требования. Применение механизмов приоритетной обработки обеспечивает надлежащий уровень сервиса для различных типов сетевого трафика при наличии ограниченного канального ресурса. Особенностью работы изделий защиты в этих условиях является то, что весь трафик, циркулирующий между внутренними и внешними сегментами ЗСПД продвигается исключительно через блок криптографической обработки (БКО) изделия, в котором исходящие во внешний сегмент сети потоки данных зашифровываются, а входящие – расшифровываются. Поэтому в изделиях защиты в случаях, когда основным ограничением продвижения трафика является пропускная способность канала связи, к которому подключено изделие, 242 Приложение Г. Обработка IP-датаграмм с учетом их приоритета недостаточно организовать работу механизмов приоритетной обработки трафика с помощью очередей (как часто делается в обычных маршрутизаторах) только на выходе изделия – на выходном интерфейсе БНМ изделия. В ряде случаев необходимо также (в силу ограничений, накладываемых особенностями работы криптоалгоритма, реализуемого БКО) организовывать обработку трафика с помощью механизма очередей также и на входе в БКО (в шифратор). Выполнить это требование в изделии помогает применение сетевых виртуальных туннельных TNL-интерфейсов, обеспечивающих реализацию механизмов приоритетной обработки с помощью организации очередей разного приоритета и на входе в шифратор изделия, поскольку предоставляемый туннельными интерфейсами изделия механизм приоритетной обработки аналогичен рассмотренному выше механизму приоритетной обработки, предоставляемому физическими и рядом виртуальных интерфейсов изделия. Приложение Д. Использование DNS-сервиса Доменная система имен (Domain Name System или DNS) – это распределенная база данных, которая содержит информацию о компьютерах, включенных в сеть, организованную согласно internet/intranet-технологии. DNS выполняет несколько задач, но основная – преобразование имени компьютеров в IP-адрес и наоборот. Пользователи сети в своей работе, как правило, применяют имена хостов, с которыми они обмениваются информацией. С другой стороны, программное обеспечение при обмене данными на сетевом уровне понимает только IP-адреса. Для разрешения этого противоречия и предназначена система DNS. DNS, как и большинство информационных служб в сетях, организованных согласно internet/intranet- технологии, состоит из двух компонентов: множества связанных между собой DNS-серверов и неограниченного количества DNS-клиентов. DNS-клиенты посылают запросы к DNS-серверам и обрабатывают полученные от них ответы. DNS-серверы получают запросы от DNS-клиентов, производят поиск в своих базах данных и формируют ответы с результатами поиска. В случае необходимости DNS-серверы могут запрашивать у своих коллег недостающую информацию. Изделие поддерживается функционирование обоих компонентов DNS: DNS-клиента и DNS-сервера. Порядок их настройки изложен в разделе 5.4, с. 157. Материал настоящего приложения может быть использован в качестве справочного руководства администратора DNS-сервера. DNS-сервер изделияреализован в соответствии с рекомендацией RFC 1035. Архитектура сервера и интерфейс взаимодействия с ним максимально приближены к известному DNS-серверу The Berkeley Internet Name Domain (BIND). Это сделано с целью упрощения процесса освоения администрирования DNS-сервера обслуживающим персоналом изделия. В настоящее время издано большое количество различной документации по работе с DNS, включая официальные руководства и многочисленные пособия по сопровождению BIND. Учитывая это, предлагаемый ниже материал не содержит общих теоретических основ DNS, в нем приведены только некоторые основные понятия и описана конкретная реализация DNS-сервера, поддерживаемая изделием. В конце настоящего Приложения рассмотрены особенности переноса конфигурационных файлов с сервера BIND на DNS-сервер изделия. Понятие зоны Пространство имен DNS имеет структуру дерева доменов с полномочиями, возрастающими по мере приближения к корню дерева. Это означает, что родители – домены старших уровней – имеют власть над детьми. Корень дерева имеет имя «.»; под ним находятся домены первого – корневого – уровня, каждый из которых управляет своим поддеревом. Домены второго и следующих уровней, в свою очередь, имеют управляемые ими поддеревья. Каждый домен – это отдельный фрагмент всемирного дерева, которым управляет один административный объект. Каждый домен верхнего уровня может управлять всеми своими поддоменами самостоятельно, но может и делегировать свои полномочия по управлению администраторам младших поддоменов. Решение о делегировании полномочий управления принимается для каждого узла дерева имен самостоятельно. По этой причине при конфигурировании каждого DNS-сервера используется понятие зоны. Зона – это множество имен данного домена за вычетом поддоменов, управление которыми передано своим администраторам. Иными словами, зона содержит все имена от конкретной точки дерева вниз, за исключением имен, делегированных в другие зоны. Форматы записей файла зоны Описание каждой зоны образует отдельный раздел базы данных DNS-сервера (файл описания зоны или просто файл зоны). Файл зоны состоит из записей описания ресурсов Resource Record (RR). Все RR-записи имеют следующий формат: [имя] [время] [класс] тип данные Первые три поля формата записи необязательны и могут отсутствовать. имя – обозначает объект, к которому относится запись; значение поля зависит от типа записи (от значения поля тип); умалчиваемое значение – имя предыдущей RR-записи. время – максимальное время хранения данной записи в кэшах прочих DNS-серверов (значение задается в секундах); умалчиваемое значение – не определено. 244 Приложение Д. Использование DNS-сервиса класс – тип сети; поле может иметь только одно значение IN (Internet), другие типы сетей изделие не обрабатывает; умалчиваемое значение – IN. тип – тип записи; в базе данных DNS-сервера изделия могут быть записи следующих типов: Тип Функция SOA Задает основные параметры зоны NS Определяет серверы имен зоны A Задает преобразование имени в IP-адрес PTR Задает преобразование IP-адреса в имя MX Управляет маршрутизацией электронной почты CNAME Определяет дополнительные ( алиасные ) имена машины данные – значение поля зависит от типа записи (от значения поля тип). Правила подстановки имен в DNS-сервере изделия Имена содержатся в двух полях RR-записи – в поле имя и в поле данные. При использовании записи для имен действует следующее правило. Если имя не заканчивается точкой, то оно считается относительным. К такому имени автоматически добавляется точка и «имя_зоны». Если имя заканчивается точкой, то оно считается полностью определенным и используется без всяких изменений. Имя_зоны – это значение поля имя записи типа SOA (см. ниже). В изделии запись SOA содержится в заголовке раздела, поэтому ко всем относительным именам будет добавляться имя раздела (имя файла зоны). Отсюда, в частности, следует, что имена всех зон должны иметь в конце точку! Указанное правило подстановки имен позволяет сократить объем раздела базы (файла зоны) за счет того, что можно опустить текущее имя зоны для большинства записей. Но это же правило может создать проблемы, если недопустимо, чтобы происходила автоподстановка. Наш практический совет: если имя не находится в той зоне, для которой создается раздел базы данных DNS-сервера изделия, следует заканчивать такое имя точкой. Примеры В записях раздела xyz.ru. (обратите внимание на концевую точку в имени зоны) будут выполнены следующие преобразования имен: user1 user1.xyz.ru. user1.host1 user1.host1.xyz.ru. В записях раздела 1.168.192.IN-ADDR.ARPA. будет выполнено следующее преобразование имени: 11 11.1.168.192.IN-ADDR.ARPA. Запись типа SOA Записи SOA (начало полномочий Зоны, Start of a zone of Authority) отмечают начало зоны в области пространства имен DNS и сообщают основные характеристики этой зоны. Замечание.Описания зон изделиемхранятся в форме специализированной базы данных, поэтому запись SOA задается как заголовок раздела базы данных, описывающего зону. Внутри описания зоны RR-запись типа SOA задать невозможно. Формат записи: имя_зоны [время] IN SOA данные Поле данные содержит описание зоны.В состав описание зоны входит следующая информация: имя основного DNS-сервера зоны; адрес электронной почты администратора зоны для возможности связи с ним; в почтовом адресе символ "@" должен быть заменен точкой; Serial – серийный номер (serial number) – номер версии файла зоны (целое положительное число); этот номер администратор зоны должен увеличивать каждый раз, когда в файл зоны вносятся изменения; Refresh – параметр показывает, как часто (в секундах) вторичные DNS-серверы должны проверять первичный (основной) DNS-сервер, чтобы узнать, не изменился ли серийный номер зоны (Serial) и Приложение Д. Использование DNS-сервиса 245 не нужно ли обновить зону; общепринятые значения для данного времени от 3600 до 21600 (от одного до шести часов); Retry – параметр показывает, как долго (в секундах) вторичный сервер должен ждать, прежде чем повторить неудавшуюся передачу данных зоны; обычно этот параметр имеет значение в интервале от 1200 до 3600 (от 20 до 60 минут); Expire – параметр указывает верхний предел времени (в секундах), в течение которого вторичный сервер может использовать данные без обновления; по истечении указанного времени данные теряют силу и должны быть удалены из кэша; обычно для этого параметра устанавливается значение в интервале от недели до месяца; Minimum – количество секунд, используемое в качестве умалчиваемого значения поля время в RR- записях (время жизни записи); это же значение является вынужденным минимумом для времени жизни, если оно задано явно в какой-либо RR-записи зоны. Пример: xyz.ru. IN SOA ns.xyz.ru. root.mailer.xyz.ru. 140199001 10800 1800 3600000 259200 имя сервера адрес ЭП адм. Serial Refresh Retry Expire Minimum Запись типа NS С помощью записей NS (Сервер имен, Name Server) описываются DNS-серверы, которые авторитетны для данной зоны. Авторитетными называются те DNS-серверы, на которых размещаются и редактируются файлы зон и которые могут дать точный (авторитетный) ответ. Замечание.Если NS -записи присутствуют в файле зоны, то они обычно идут первыми. Формат записи: имя_зоны [время] IN NS имя_машины В записях типа NS значение первого поля (имя_зоны) совпадает с именем файла зоны, поэтому, если эти записи стоят первыми в файле зоны (т. е. сразу после записи типа SOA), то имя_зоны может быть опущено. Примеры: xyz.ru. 21600 IN NS ns1.xyz.ru. IN NS ns2.xyz.ru. Запись типа A Записи типа A (Адрес, Address) составляют основу файла зоны. С их помощью обеспечивается перевод имен машин в IP-адреса. Формат записи: имя_машины [время] IN A IP-адрес Примеры: user1 21600 IN A 192.168.1.11 user2.xyz.ru. IN A 192.168.1.12 Запись типа CNAME CNAME (Canonical Name) – каноническое имя. Каноническим называют основное имя машины. Записи типа CNAME позволяют задавать машинам дополнительные (алиасные) имена. Эта возможность часто используется для введения более коротких синонимов к основному имени машины, а также в случае изменения имени машины для сохранения доступа к ней по старому имени. Формат записи: алиас [время] IN CNAME имя_машины Примеры: anton 21600 IN CNAME user1.xyz.ru. ivan IN CNAME user2 Запись типа PTR Записи типа PTR (указатель на доменное имя, Domain Name Pointer) выполняют обратное преобразование IP-адресов в имена машин. 246 Приложение Д. Использование DNS-сервиса Формат записи: IP-адрес [время] IN PTR имя_машины Примеры: 11 21600 IN PTR user1.xyz.ru. 12 IN PTR user2.xyz.ru. Внимание! С целью унификации процедур поиска записей PTR в базе данных DNS-сервера значение IP-адрес записывается не в обычной для IP-адресов нотации. Чтобы сохранить принципы формирования доменных имен, IP-адреса записывают, начиная с младшей части (в «перевернутом» формате). Кроме того, следом за «перевернутым» IP-адресом записывают имя специального домена «.IN-ADDR.ARPA.». Например, IP-адрес 192.168.1.11 должен быть записан как 11.1.168.192.IN-ADDR.ARPA. Обычно при конфигурировании DNS-сервера изделиядля каждой зоны формируют два раздела (два файла зоны). Первый – для прямого преобразования имя адрес, второй – для обратного преобразования адрес имя. Файл прямого преобразования имеет имя домена (например, xyz.ru.), а файл обратного преобразования должен иметь имя из домена IN-ADDR.ARPA (например, 1.168.192.IN-ADDR.ARPA. ). Записи PTR помещаются именно в этот файл. Благодаря наличию правила подстановки имен в поле имя записи типа PTR в качестве IP- адреса достаточнопоместить младшую часть IP-адреса машины. Система сама расширит запись адреса до полного формата за счет добавления имени файла зоны. Запись типа MX Записи типа MX (Почтовый коммутатор, Mail Exchange) используются системами электронной почты для более эффективной маршрутизации почты. С помощью записей MX назначаются узлы, ответственные за доставку почты в адрес абонентов конкретного домена. Формат записи: имя_домена [время] IN MX приоритет имя_машины Примеры: user1.xyz.ru. 21600 IN MX 10 mailer1.xyz.ru. IN MX 20 mailer2.xyz.ru. user2.xyz.ru. IN MX 0 user2.xyz.ru. Записи MX обеспечивают доставку почты в адрес домена имя_домена (user1.xyz.ru. – в первом примере) путем ее пересылки в адрес машины с именем имя_машины. Если для одного значения имя_домена имеется несколько MX-записей (как в нашем примере), то сначала делается попытка доставить почту в адрес машины с меньшим значением параметра приоритет. В случае проблем с доставкой почта автоматически доставляется в адрес другой машины. Правильно сконфигурированная зона обязательно содержит |