Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

Глава 1. Введение 17
На нижней границе рамки экрана могут быть размещены (в порядке следования слева направо):
- число – рабочая температура (в градусах Цельсия) центрального процессора соответствующего маршрутизатора (41 – на Рис. 1.9);
- название статуса изделия (Master или Slave) и символ состояния (S – на Рис. 1.9), если изделие работает в составе кластерa криптомаршрутизаторов (см. раздел 7, с. 174);
- время – текущее или прошедшее с момента включения изделия (в зависимости от настройки – см. раздел 4.1.6, с. 137).
В правой части экрана размещается вертикальное окно (окно оперативного контроля состояния интерфейсов), в котором отображается список сетевых интерфейсов соответствующего маршрутизатора. Окно служит для контроля текущего состояния отображаемых в нем интерфейсов и для оперативного получения дополнительной информации о них. Перейдя в это окно, обслуживающий персонал получает доступ к статистической информации о проделанной интерфейсом работе и к информации о параметрах настройки интерфейсов. Состав списка интерфейсов, отображаемых в этом окне, задается обслуживающим персоналом в зависимости от оперативных потребностей при управлении изделием в конкретный момент времени.
Переход в окно оперативного контроля состояния интерфейсов осуществляется нажатием клавиши .
Нажатие клавиши возвращает управление в ГМ.
Подробнее об управлении составом списка интерфейсов, отображаемых на экране в вертикальном окне оперативного контроля, см. раздел 2.6, с. 52 настоящего РНУ.
Программы управления функционированием маршрутизаторов − БВМ и БНМ − одинаковы. Главные меню этих программ идентичны, структуры соответствующих меню и набор их альтернатив при управлении БВМ или
БНМ в основном совпадают. Имеющиеся различия отмечены в тексте настоящего РНУ. Если значения параметров настройки могут быть различны для внутреннего и наружного маршрутизаторов, то перед тем как продолжить настройку программа управления предложит уточнить, параметр какого из маршрутизаторов –
БВМ или БНМ – предстоит настроить.
Как было сказано выше, при управлении изделием используется иерархическая система меню. Выбор той или иной альтернативы меню первого (наивысшего) уровня иерархии приводит к появлению на экране меню более низкого уровня иерархии и т.д.
Диалог персонала с программой управления начинается с выбора той или иной альтернативы Главного меню
(Рис. 1.9) и ведется по следующим правилам.
Для выбора требуемой альтернативы меню следует, пользуясь клавишами управляющих стрелок, переместить курсор на нужную альтернативу и нажать клавишу . Кроме того, почти все альтернативы меню можно выбрать, нажав клавишу с символом, приписанным данной альтернативе: на экране этот символ выделен цветом (часто это первая буква названия альтернативы). Возврат в меню предыдущего (более высокого) уровня иерархии осуществляется нажатием клавиши .
Меню последнего (самого нижнего) уровня в большинстве случаев содержит набор возможных значений того или иного параметра или функции изделия. Чтобы задать требуемое значение, достаточно выбрать соответствующую альтернативу. В других случаях значение параметра (функции) должно быть введено с клавиатуры. Нажатие клавиши отменяет выбранное из меню или введенное с клавиатуры значение и возвращает процесс управления к меню предыдущего (более высокого) уровня иерархии.
Подсистема Настройка
Все вопросы настройки конфигуратора изделия для обеспечения оптимального применения и эффективного использования изделия на объектах эксплуатации решаются с использованием возможностей, предоставляемых подсистемой Настройка программы управления функционированием изделия. Описанию этих возможностей посвящена значительная часть разделов настоящего РНУ.
Доступ к работе с подсистемой Настройка предоставляется только привилегированным пользователям изделия – администраторам изделия. После перевода изделия в режим Адм.узла становится доступной альтернатива ГМ Настройка (см. Рис. 1.9, с. 16), при выборе которой на видеомонитор ЛКУ выдается аналогичный представленному на Рис. 1.10 экран Главного меню подсистемы Настройка.
Главное меню подсистемы Настройка содержит следующие альтернативы для настройки маршрутизатора:
Параметры, Интерфейсы, Службы, Защита, Абоненты, Разное, Выход.
Экран, содержащий Главное меню подсистемы Настройка (Рис. 1.10), имеет ту же структуру, что и экран
Главного меню программы управления функционированием маршрутизатора (Рис. 1.9).
Диалог персонала с программой управления при использовании Главного меню управления маршрутизатором и
Главного меню подсистемы Настройка выполняется по одним и тем же приведенным выше правилам.

18
Глава 1. Введение
Главные меню подсистемы Настройка маршрутизаторов (БВМ и БНМ) идентичны, структуры соответствующих меню и набор их альтернатив, в основном, совпадают. Имеющиеся различия отмечены в тексте настоящего РНУ.
Рис. 1.10 Главное меню подсистемы Настройка
Примечание. Процедуру настройки значений параметров конфигуратора изделия следует выполнять только после подключения технических средств ЛКУ к БНМ изделия.
Подключив средства ЛКУ к БВМ изделия, можно изменить значения отдельных параметров в
БпВ
, но обновленные значения параметров будут утеряны после выключения электропитания изделия или перезагрузки ОПО внутреннего маршрутизатора.

2.
Организация работы изделия с сетями передачи данных
2.1.
Общие сведения об интерфейсах
Каждое из изделий нового поколения обеспечивает функционирование двух полнофункциональных
IP-маршрутизаторов, обеспечивающих защищенный сетевой обмен IP-датаграммами между изделиями на
сетевом уровне – L3-уровне – эталонной модели взаимодействия открытых систем (Open System
Interconnection) – модели OSI. Один из маршрутизаторов функционирует в составе БНМ, взаимодействуя с транспортными сетями общего пользования, другой – в составе БВМ, взаимодействуя с защищаемыми внутренними сетями Пользователя.
Кроме того, в составе изделий этого исполнения могут быть созданы сетевые L2-интерфейсы, с помощью которых организуется функционирование прозрачных инкапсулирующих криптомостов (encapsulating bridge), обеспечивающих защищенный обмен между локальными и удаленными сегментами ЛВС Пользователя.
Таким образом, в отличие от изделий, исполненных в односегментной архитектуре технологии DioNIS®, функционал изделий нового поколения расширен и для организации защищенного сетевого обмена данными в составе ЗСПД изделия нового поколения по усмотрению Администрации ЗСПД могут быть применены как в качестве криптомаршрутизаторов, так и в качестве средства организации криптомостов. Можно обеспечить сочетание этих функций на разных сетевых интерфейсах изделия – обработка трафиков одними сетевыми интерфейсами изделия выполняется путем маршрутизации (на L3-уровне), а обработка трафиков другими сетевыми интерфейсами – путем организации bridgee-соединений (на L2-уровне).
Сетевое взаимодействие изделий осуществляется через сетевые интерфейсы – программно-аппаратные или программные (виртуальные) компоненты, предназначенные для передачи данных между изделиями по каналам связи через сети передачи данных.
Сетевые интерфейсы изделия являются одними из основных объектов настройки изделия. Поэтому важным этапом подготовки изделия к функционированию в составе ЗСПД является этап создания, настройки и
комплексной проверки функционирования сетевых интерфейсов изделия.
Сетевые интерфейсы изделия подразделяются на физические и виртуальные.
Общее количество физических и виртуальных интерфейсов изделия не может превышать числа 2048.
Физический интерфейс является программно-аппаратным компонентом изделия, обеспечивающим физическое подключение изделия к той или иной сетевой среде передачи данных через порт сетевого Ethernet- адаптера, а также обеспечивающим управление обменом данными через эту среду.
В изделиях могут применяться многопортовые Ethernet-адаптеры, конструкция которых предусматривает наличие в адаптере более одного порта (подробнее см. раздел
Приложение Ж
, с. 253). Сведения о конкретном оснащении изделия Ethernet-адаптерами содержатся в эксплуатационной документации (далее – ЭД) на конкретное изделие.
Программа управления изделиями поддерживает функционирование физических интерфейсов следующих двух типов (см. раздел 2.2, с. 21):
- физические интерфейсы типа Ethernet;
- физические интерфейсы типа L2–Eth.
Примечание. Тип функционирования физического интерфейса (Ethernet или L2–Eth) определяется программой управления на основе параметров его конфигурирования и не
зависит от конструктивных особенностей Ethernet-адаптера. Изделием может поддерживаться
любая комбинация типов физических интерфейсов, ограничиваемая только общим числом портов Ethernet-адаптеров, которыми оснащено изделие.
Физический интерфейс типа Ethernet (или Ethernet-интерфейс) предназначен для обработки маршрутизаторами изделия трафика IP-датаграмм на L3-уровне. Программой управления поддерживается функционирование Ethernet-интерфейсов как в составе БВМ, так и в составе БНМ изделия.
Ethernet-интерфейсы выполняют следующие функции:
- физическое взаимодействие изделия с каналом связи, включая контроль формата принятых Ethernet-кадров и качества их передачи по каналу связи; прием на дальнейшую обработку Ethernet-кадров, транспортирующих только IP-датаграмму или ARP-запрос;
- упаковка исходящих IP-датаграмм в передаваемые по каналу связи Ethernet-кадры и извлечение
IP-датаграмм из принимаемых по каналу связи Ethernet-кадров (отработка протокола инкапсуляции
IP-датаграмм, выполняемая с учетом особенностей алгоритма преобразования, отмеченных в
- разделе
Приложение В
, с. 230);

20
Глава 2 Организация работы изделия с сетями передачи данных
- передача всех принятых IP-датаграмм на обработку в IP-маршрутизатор, которому принадлежит
Ethernet-интерфейс, и прием IP-датаграмм от IP-маршрутизатора для передачи их в канал связи.
Физический интерфейс типа L2–Eth (или L2–Eth-интерфейс) предназначен для обработки изделием трафика
Ethernet-кадров на L2-уровне для обеспечения функционирования криптомостов, образуемых с применением изделий. Программой управления поддерживается функционирование L2–Eth-интерфейсов только в составе
БВМ изделия.
L2–Eth-интерфейсы выполняют следующие функции:
- физическое взаимодействие изделия с каналом связи, включая контроль формата принятых Ethernet-кадров и качества их передачи по каналу связи; прием на дальнейшую обработку Ethernet-кадров, транспортирующих данные любого типа;
- прием из ЛВС Пользователя, к которой он подключен, всех полученных Ethernet-кадров и передача их (без какого-либо преобразования, минуя маршрутизацию в БВМ) на дальнейшую обработку в соответствующий
криптомост через криптотуннель L2-уровня (подробнее см. раздел 2.4.5, с. 49);
- передача в ЛВС Пользователя (без какого-либо преобразования) всех Ethernet-кадров, принятых по соответствующему криптомосту через криптотуннель L2-уровня.
Физический интерфейс того или иного типа – Ethernet или L2–Eth – должен быть создан и настроен для каждого из тех портов сетевых Ethernet-адаптеров, которые будут использованы администратором для подключения изделия к каналам связи с требуемыми сетями (подробнее см. раздел 2.3, с. 25).
Виртуальный интерфейс является программно организованным (логическим) компонентом изделия, обеспечивающим тот или иной вид дополнительной обработки трафика, циркулирующего через базовые физические интерфейсы типа Ethernet или L2–Eth.
Виртуальные (или логические) интерфейсы не имеют собственной аппаратуры для взаимодействия с каналами связи, они используют аппаратуру одного из физических (реальных) интерфейсов изделия, подключаемых к каналам связи. Поэтому каждый виртуальный интерфейс изделия явно (при создании и настройке) или опосредованно (например, через взаимосвязь, фиксируемую организацией маршрутной таблицы маршрутизаторов) приписан к конкретному физическому – базовому − интерфейсу.
В соответствии с двумя типами физических интерфейсов, каждый из которых имеет свое назначение и логику работы, изделие поддерживает две группы виртуальных интерфейсов, каждая из которых предназначена для взаимодействия с физическим интерфейсом одного из двух типов.
К виртуальным интерфейсам, связанным с логикой обработки трафика физическими Ethernet-интерфейсами, относятся:
- VLAN-интерфейсы – поддерживаются изделием для организации обработки тегированного согласно стандарту IEEE 802.1Q трафика VLAN-сетей;
- TNL-интерфейсы – поддерживаются изделием для организации туннелированной (согласно спецификациям
IPSec) криптообработки циркулирующего между удаленными изделиями на L3-уровне трафика
IP-датаграмм с целью его криптографической защиты при передаче через сети общего пользования;
- GRE-интерфейсы – поддерживаются изделием для организации туннелированной согласно GRE-протоколу обработки трафика различных сетевых протоколов между удаленными изделиями.
К виртуальным интерфейсам, связанным с логикой обработки трафика физическими L2–Eth-интерфейсами, относятся:
- L2–VLAN-интерфейсы – поддерживаются изделием для организации обработки тегированного согласно стандарту IEEE 802.1Q трафика VLAN-сетей;
- L2–TNL-интерфейсы – поддерживаются изделием для организации туннелированной (согласно спецификациям IPSec) криптообработки циркулирующего на L2-уровне сетевого трафика Ethernet-кадров между удаленными изделиямис целью его криптографической защиты при передаче через сети общего пользования.
Ниже представлен полный набор поддерживаемых изделиями сетевых интерфейсов.
Уровень
модели
OSI
Класс
интерфейса
Тип
интерфейса
Реализация
работы
интерфейса
Примечание
L3
Физический
Ethernet
Программно-аппаратная
Монополизирует управление портом Ethernet-адаптера
Виртуальный
TNL
Программная
VLAN
GRE

Глава 2 Организация работы изделия с сетями передачи данных 21
L2
Физический
L2-Eth
Программно-аппаратная
Монополизирует управление портом Ethernet-адаптера
Виртуальный
L2-TNL
Программная
L2-VLAN
Внутренний (служебный) интерфейс. Кроме сетевых физических и виртуальных интерфейсов, каждым из
IP-маршрутизаторов изделия поддерживается виртуальный внутренний (служебный) интерфейс, который обеспечивает обмен данными на L4-уровне модели OSI между программными приложениями (службами или
сервисами) локального изделия и программными приложениями удаленных изделий.
Внутренние интерфейсы маршрутизаторов создаются при запуске изделия (или при перезапуске ОПО маршрутизатора) автоматически и не требуют настройки.
Входящий поток внутреннего интерфейса составляют отдельные данные, принимаемые по физическим интерфейсам из каналов связи и передаваемые для обработки IP-маршрутизатору.
Исходящий поток внутреннего интерфейса – это данные, передаваемые программными приложениями, службами и сервисами изделия IP-маршрутизатору или коммутатору для передачи этих данных в конечном итоге в каналы связи через соответствующие физические интерфейсы.
В рамках виртуального служебного интерфейса на каждом из блоков маршрутизации функционируют TCP- порты, предназначенные для обеспечения работы механизмов удаленного управления БНМ или БВМ с использованием протокола DCP. Эти порты служат для мониторинга состояния сеансов управления; кроме того, они обеспечивают функцию сброса соединений. Число TCP-портов в базовой конфигурации ОПО изделия на каждом из служебных интерфейсов равно 4.
TCP-порты создаются при запуске изделия автоматически и не требуют действий администратора для их настройки.
2.2.
Конфигурирование сетевых интерфейсов
Процесс создания и настройки сетевых интерфейсов рекомендуется выполнять в следующем порядке.
1. Создать и настроить связанный с конкретным портом сетевого Ethernet-адаптера изделия физический интерфейс требуемого типа (Ethernet или L2-Eth) как основу (базис) для организации обмена изделия с сетью на соответствующем (L2 или L3) уровне.
2. Проверить работоспособность физического интерфейса, для чего:
- выполнить проверку функционирования интерфейса с помощью процедуры PING, запустив ее с помощью цепочки альтернатив ГМ: Консоль  Тестирование  Ping (раздел 8.1.1, с. 178);
- выполнить (при необходимости) проверку настроек интерфейса или маршрутных таблиц, включив трассировку интерфейса с помощью следующей цепочки альтернатив ГМ: Настройка  Параметры
 Трассировка (см. раздел 4.1.3, с. 131);
- получить (при необходимости) информацию о состоянии соединения, скорости обработки трафика, об ошибках на Ethernet-адаптере, а также получить дополнительную диагностическую информацию с помощью цепочки альтернатив ГМ: Диагностика  Интерфейсы  Активные
(раздел 9.2.2, с. 189), или выбрав альтернативу ГМ: