Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

22
Глава 2 Организация работы изделия с сетями передачи данных
- средствами NAT/PAT-обработки трафиков, проходящих через интерфейсы – для сокрытия структуры внутренних сетей Пользователя, а также в целях преодоления дефицита реальных глобальных IP-адресов (подробнее см. раздел 3.3, с. 111);
- прочими средствами изделия.
- для L2–Eth-интерфейсов эти виды обработки могут быть обеспечены:
- L2–VLAN-интерфейсами – для организации обработки тегированного трафика VLAN-сетей физическим L2–Eth-интерфейсом изделия (подробнее см. раздел 2.4.4, с. 46);
- L2–TNL-интерфейсами – для организации туннелированной криптообработки трафика
Ethernet-кадров на канальном (L2) уровне (подробнее см. разделы 3.1, с. 73 и 2.4.5, с. 49).
4. Выполнить поэтапную настройку необходимых дополнительных средств обработки трафика с применением механизмов статических криптографических туннелей, средств виртуальных интерфейсов изделия различного типа (VLAN, TNL, GRE, L2–VLAN, L2–TNL), средств фильтрации, NAT-обработки трафика и пр., проверяя работоспособность настраиваемого тракта передачи данных в целом после очередного этапа настройки дополнительного средства обработки трафика (см. раздел 3, с. 71).
Создание и настройка сетевого интерфейса предполагает выполнение следующих действий:
- подключение средств ЛКУ к БНМ изделия и перевод наружного маршрутизатора в привилегированный режим Администратор узла (см. раздел 8.4, с. 183);
- перевод изделия из режима управления в режим настройки: выбор альтернативы ГМ Настройка;
- выбор цепочки альтернатив ГМ: Настройка  Интерфейсы (см. ниже комментарии к Рис. 2.1);
- выполнение собственно операций по созданию и настройке описателей сетевых интерфейсов изделия
(см. разделы 2.3, с. 25; 2.4, с. 36 и 2.5, с. 50);
- перевод изделия из режима настройки в режим управления, сопровождаемый выдачей подтверждения разрешения на запись (и записью) обновленного конфигуратора изделия в объединенную базу параметров БпО изделия; команда подтверждения разрешения на запись выполняется с помощью средств управления работой БКО изделия (см. РЭ на конкретное изделие).
В ответ на выбор цепочки альтернатив ГМ: Настройка  Интерфейсы программа управления выдаст на видеомонитор ЛКУ экран создания и настройки сетевых интерфейсов изделия, аналогичный представленному на Рис. 2.1.
Рис. 2.1. Экран создания и настройки сетевых интерфейсов изделия
Примечание. В изделии используется один и тот же формат выдачи на экран информации, представляющей собой список описателей тех или иных объектов (интерфейсов, маршрутных записей, записей графика замены КД и пр.). При этом в верхней строке экрана содержится информация о средствах навигации по списку, представленному в средней части экрана.
Средняя часть экрана содержит собственно список, каждый описатель объекта представлен в списке одной строкой. В нижней части экрана размещена справочная информация об управляющих действиях, которые может выполнить администратор с помощью данного экрана.
Средняя часть экрана на Рис. 2.1 содержит список всех ранее созданных описателей сетевых интерфейсов изделия.
Примечание. Конфигуратор поставляемых заказчику изделий (т.н. конфигуратор заводских настроек) включает описатели сетевых интерфейсов изделия типа Ethernet для каждого
порта всех сетевых Ethernet-адаптеров, которыми оснащено изделие (подробнее см. раздел 4.1.8, с. 143).

Глава 2 Организация работы изделия с сетями передачи данных 23
Описание каждого интерфейса занимает в списке одну строку. В первой позиции строки размещается символ, определяющий принадлежность интерфейса блоку маршрутизации: символ <_> обозначает принадлежность интерфейса БНМ, символ <|> – принадлежность интерфейса БВМ, а символ <пробел> – принадлежность интерфейса (например, TNL-интерфейса) изделию в целом.
В правую часть верхней линии рамки экрана выдается номер строки описателя, на которую установлен курсор, а через косую черту от него – количество созданных описателей сетевых интерфейсов.
F7 – создать (Рис. 2.1). Клавиша служит для создания нового описателя интерфейса. После ее нажатия на экран выводится меню выбора типа и принадлежности создаваемого интерфейса (Рис. 2.2). Меню содержит альтернативы: Ethernet, VLAN, GRE, TNL, L2–Eth, L2–TNL, L2–VLAN, соответствующие всему набору типов поддерживаемых изделием физических и виртуальных сетевых интерфейсов. С вызова этого меню начинается создание и настройка любого сетевого интерфейса.
Для выбора типа создаваемого интерфейса следует перевести курсор на соответствующую строку и последовательно нажимать клавишу для определения принадлежности создаваемого интерфейса. При этом в меню (Рис. 2.2) справа от выбранного типа интерфейса будут появляться слова: наружный,
внутренний или общий, информирующие о принадлежности создаваемого интерфейса конкретному маршрутизатору или изделию в целом.
Рис. 2.2. Меню выбора типа и принадлежности создаваемого сетевого интерфейса
Выбрав тип и принадлежность создаваемого сетевого интерфейса, следует нажать клавишу – в ответ на экран будет выдан соответствующий выбранному типу бланк создания и настройки интерфейса; форматы бланков различны для интерфейсов разного типа (см. разделы 2.3.1, с. 25; 2.3.2, с. 33; 2.4.1, с. 36 – 2.4.5, с. 49).
Примечания.
1. Если принадлежность создаваемого интерфейса не будет определена (в поле справа от выбранного типа интерфейса останется пробел), то после нажатия клавиши процесс создания интерфейса будет прекращен, на видеомониторе ЛКУ снова появится экран со списком описателей ранее сконфигурированных интерфейсов (Рис. 2.1), позволяющий продолжить процесс создания и настройки интерфейсов.
2. Все создаваемые сетевые интерфейсы изделия должны иметь уникальные имена − уникальность имен контролирует программа управления.
3. По окончании процедуры создания и настройки (или редактирования) описателей сетевых интерфейсов (после того как в БпО изделия будет изменен хотя бы один из параметров сетевого интерфейса) программа управления автоматически выполнит рестарт работы всех интерфейсов изделия обоих маршрутизаторов, после чего обновленные параметры интерфейсов вступят в силу.
Alt+F5 – сменить принадлежность (Рис. 2.1). Нажатие комбинации клавиш позволяет изменить принадлежность того интерфейса, на строку описания которого установлен курсор. При изменении принадлежности изменяется символ в первой слева позиции строки описания интерфейса на Рис. 2.1: символ
<_> – у интерфейсов БНМ, символ <|> – у интерфейсов БВМ, пробел – у TNL-интерфейсов и L2–TNL- интерфейсов.
Enter – редактировать (Рис. 2.1). Чтобы изменить параметры конфигурации ранее созданного описателя интерфейса, следует в списке (Рис. 2.1) перевести курсор на строку с описателем, подлежащим редактированию, и нажать клавишу ; в ответ на экран будет выдан бланк создания и настройки
интерфейса с подлежащими редактированию ранее введенными параметрами.
F8 – удалить (Рис. 2.1). При нажатии клавиши после дополнительного запроса и подтверждения из списка будет удалена строка с описанием интерфейса, на которую был установлен курсор.
F3 – таблица маршрутов (Рис. 2.1). После нажатия клавиши на экран будет выдана сводная таблица маршрутов изделия. Эта таблица представляет собой совокупность маршрутных таблиц, настроенных при конфигурировании каждого из интерфейсов БНМ и БВМ (общая информация о маршрутизации в технологии
DioNIS® приведена в разделе
Приложение А
, с. 214).
F4 – копировать (Рис. 2.1). После нажатия клавиши будет создан интерфейс, параметры которого являются копией того интерфейса, на описании которого установлен курсор; функция облегчает труд

24
Глава 2 Организация работы изделия с сетями передачи данных
администратора при создании и настройке описателей новых интерфейсов, имеющих лишь небольшие отличия от уже созданных.
NAT: F2 (Рис. 2.1). Нажатие клавиши позволяет управлять статусом сетевого интерфейса с точки зрения
NAT-обработки, выполняемой маршрутизатором: является ли интерфейс внутренним для NAT-обработчика этого маршрутизатора, является ли интерфейс для него внешним или NAT-обработку трафика, циркулирующего через данный интерфейс, маршрутизатор вообще не выполняет. Последовательное нажатие клавиши изменяет статус интерфейса и цвет соответствующей строки в списке интерфейсов (Рис. 2.1): красный цвет – интерфейс имеет статус внутреннего для NAT-обработчика, зеленый – статус внешнего для NAT-обработчика,
черный – NAT-обработка на данном интерфейсе маршрутизатором не выполняется (подробнее вопросы трансляции адресов при NAT-обработке рассмотрены в разделе 3.3, с. 111).
F6 – перенести (Рис. 2.1). Нажатие клавиши позволяет изменить позицию интерфейса в списке описателей (позиция интерфейса в списке имеет значение, так как при запуске (перезапуске) изделия статические физические интерфейсы (каковыми являются Ethernet-интерфейсы и L2–Eth-интерфейсы) активизируются по очереди в соответствии с порядком следования интерфейса в списке описателей). После первого нажатия клавиши указанная курсором строка выделяется белым цветом. Далее можно переместить курсор на любую строку и повторно нажать клавишу . Отмеченный ранее описатель интерфейса будет перемещен под строку, на которой установлен курсор в момент повторного нажатия клавиши
.
Замечание. Между первым и вторым нажатием клавиши можно пользоваться только клавишами перемещения курсора. Нажатие любых других функциональных клавиш из набора операций, приведенных в нижней части экрана (Рис. 2.1), сбросит отметку подлежащей переносу строки.
Админ. статус: F5 (Рис. 2.1). Нажатие клавиши позволяет изменить административный статус интерфейса. Интерфейс можно отключить, не удаляя его из списка описателей. Последовательное нажатие клавиши изменяет статус интерфейса и цвет соответствующей строки в списке описателей интерфейсов:
серый цвет – интерфейс отключен (заблокирован), первоначальный цвет – интерфейс включен (переведен в активное состояние).
Alt+F7 – конв.туннели в интерфейсы (Рис. 2.1). Использование комбинации клавиш позволяет выполнить конвертирование описателей статических криптотуннелей в описатели TNL-интерфейсов с аналогичными параметрами. В качестве исходных данных для конвертирования используется информация, сохраненная ранее в виде файла с системным именем tnl_tcp.ema в архиве конфигураций изделия или на съемном FLASH-диске (см. раздел 4.1.8, с. 143).
При нажатии комбинации клавиш выдается запрос:
Рис. 2.3 Запрос на ввод данных о файле
На запрос должно быть введено обязательное имя tnl_tcp.ema – системное имя файла, в котором хранится описание ранее настроенных статических криптотуннелей. Имя файла (с указанием пути его размещения на носителе) можно ввести с клавиатуры (после чего нажать клавишу ) или нажать клавишу и получить на экране окно, позволяющее просмотреть и найти папки и файлы на любом из доступных дисков.
Если предполагается конвертировать ранее созданные в изделии описатели статических криптотуннелей, то предварительно следует занести в архив текущий конфигуратор изделия (см. раздел 4.1.8, с. 143). Папка, содержащая архив конфигураций, имеет системное имя D:\DIONISWT.CFG, в ней следует найти папку с сохраненным конфигуратором изделия и в ней найти файл tnl_tcp.ema. Далее следует перевести курсор на имя найденного файла и нажать клавишу .
Если указанный файл содержит корректное описание статических криптотуннелей, то конвертирование будет успешно выполнено и в дополнение к существующим описателям статических туннелей программа управления создаст описатели TNL-интерфейсов с параметрами, соответствующими описателям статических туннелей, после чего поместит их в общий список описателей сетевых интерфейсов изделия.
Примечания.
1. Повторное применение операции приведет к повторному добавлению к общему списку описателей интерфейсов изделия конвертированных описателей TNL-интерфейсов.
2. Файл tnl_tcp.ema может находиться на съемном носителе, что позволяет перенести
(импортировать) в конфигуратор изделия описания статических криптотуннелей, экспортированные на съемный носитель на другом аналогичном изделии. В дальнейшем они могут быть конвертированы в TNL-интерфейсы согласно процедурам, приведенным выше.

Глава 2 Организация работы изделия с сетями передачи данных 25
Alt+F4/Ctrl+F4 – текст экспорт/импорт (Рис. 2.1). Функция позволяет перенести сведения о параметрах настройки всех интерфейсов из конфигуратора изделия в текстовый файл или из текстового файла – в конфигуратор изделия. После нажатия комбинации клавиш (экспорт списка описаний интерфейсов на съемный носитель) или комбинации клавиш (импорт списка описаний интерфейсов со съемного носителя в конфигуратор изделия) на видеомонитор ЛКУ будет выдано окно с запросом на ввод имени этого текстового файла. Имя можно ввести с клавиатуры или нажать клавишу и получить на экране окно, позволяющее просмотреть и найти нужные папки и файлы на любом из доступных дисков. После того как будет указано местоположение и/или имя файла, список описаний всех интерфейсов выгрузится из конфигуратора изделия в текстовом формате в этот файл или загрузится из файла в конфигуратор. Текст описаний можно редактировать. Список описателей интерфейсов можно заимствовать с другого аналогичного изделия.
2.3.
Создание и настройка физических сетевых интерфейсов
В процессе создания и настройки физических интерфейсов (Ethernet_._С_этой_целью_в_меню_на_Рис._2.2_(с._23)_следует_выбрать_альтернативу_Ethernet'>Ethernet-интерфейсов или L2–Eth-интерфейсов) администратор изделия должен соотнести с каждым из создаваемых интерфейсов какой-либо из портов
Ethernet-адаптера, через который будет организован канал связи БВМ или БНМ изделия с нужной сетью.
Это требование выполняется путем присвоения соответствующего значения параметру Номер порта (см. бланки настройки дополнительных параметров Ethernet-интерфейса – Рис. 2.9, с. 29 или L2–Eth-интерфейса –
Рис. 2.16, с. 34). При этом с одним портом Ethernet-адаптера, как правило, может быть связан только один физический интерфейс (если речь не идет об использовании механизма агрегирования каналов связи – см. раздел 2.3.1, с. 25 и раздел
Приложение Б
, с. 226).
В разделе
Приложение Ж
(с. 253) изложены сведения об особенностях конструкции применяемых в изделиях нового поколения Ethernet-адаптеров, полезные для правильного определения значений параметра Номер
порта при настройке сетевых интерфейсов для Ethernet-адаптеров различной конструкции.
2.3.1. Ethernet-
интерфейсы
На каждом обслуживаемом конкретным портом Ethernet-адаптера направлении обмена, где планируется применение изделия в качестве криптомаршрутизатора (для обеспечения защищенного обмена
IP-датаграммами между ЛВС Пользователя на L3-уровне), должен быть создан и настроен сетевой физический интерфейс типа Ethernet.
С этой целью в меню на Рис. 2.2 (с. 23) следует выбрать альтернативу Ethernet, задать принадлежность создаваемого Ethernet-интерфейса наружному или внутреннему маршрутизатору и нажать клавишу . В ответ на видеомонитор ЛКУ будет выдан бланк создания и настройки физического интерфейса типа Ethernet, представленный на Рис. 2.4.
Рис. 2.4 Бланк создания и настройки физического интерфейса типа Ethernet
В левом верхнем углу рамки бланка указан маршрутизатор (Наружный или Внутренний), которому принадлежит создаваемый и настраиваемый интерфейс.
Ниже приведено описание порядка работы с полями бланка.
Имя интерфейса (Рис. 2.4) – имя сетевого физического Ethernet-интерфейса; значением параметра может быть до 7-ми любых символов, идентифицирующих интерфейс. Для ввода значения следует выбрать поле бланка − переместить на него курсор и нажать клавишу . В появившееся окно ввода значения следует ввести имя интерфейса и нажать клавишу . Все интерфейсы изделия должны иметь уникальные имена, уникальность имен интерфейсов контролирует программа управления.
Тип (Рис. 2.4) – параметр имеет значение Ethernet. Значение параметра задается автоматически при выборе типа настраиваемого интерфейса, изменить значение нельзя. В бланке приведено для информации.

26
Глава 2 Организация работы изделия с сетями передачи данных