Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
Слияние (Рис. 2.15): при значении ПРОГР. доступны для настройки все параметры; при значении АППАР. доступен для настройки только параметр Максимальный размер контейнера. Рис. 2.18 Бланк настройки параметров работы алгоритма фрагментирования-слияния Ethernet-кадров Значения параметров бланка (Рис. 2.18) выбираются администратором изделия с учетом сведений о характеристиках обрабатываемого изделием трафика. Первоначально бланк содержит умалчиваемые значения параметров (показаны на Рис. 2.14). Максимальный размер контейнера (Рис. 2.18). Параметр устанавливает максимальное значение размера контейнера, который будет использован программой управления для работы алгоритма фрагментирования-слияния Ethernet-кадров (единица измерения – байт). Контейнер представляет собой блок оперативной памяти, который перед отправкой получателю через сети передачи данных заполняется сегментами. Каждый сегмент представляет собой снабженный управляющим заголовком исходный Ethernet-кадр или целиком (если длина кадра короче значения, указанного параметром Подлежат слиянию кадры короче), или фрагмент исходного Ethernet- кадра (если длина кадра превышает размер контейнера). Заголовки сегментов необходимы при распаковке контейнера у получателя для формирования исходных Ethernet-кадров. Подлежат слиянию кадры короче (Рис. 2.18). Параметр устанавливает пороговое значение длины принятого Ethernet-кадра (единица измерения – байт). Если длина Ethernet-кадра не превышает порог, то кадр подвергается обработке алгоритмом фрагментирования-слияния Ethernet-кадров и упаковывается в контейнер. Если длина Ethernet-кадра превышает порог, то кадр обрабатывается интерфейсом в обычном порядке. Ограничение количества сливаемых кадров (Рис. 2.18). Параметр устанавливает пороговое значение числа Ethernet-кадров при упаковке в контейнер. 36 Глава 2 Организация работы изделия с сетями передачи данных 2.4. Создание и настройка виртуальных сетевых интерфейсов Выше отмечалось (см. раздел 2.1, с. 19), что изделиями нового поколения в целях организации дополнительных специальных видов обработки потоков данных, циркулирующих через физические интерфейсы изделия, поддерживается несколько видов сетевых виртуальных интерфейсов. Виртуальные (или логические) интерфейсы не имеют своей аппаратуры для взаимодействия с каналом связи и используют аппаратуру (порты Ethernet-адаптеров) одного из физических интерфейсов типа Ethernet или L2–Eth. Изделиями нового поколения поддерживаются две группы виртуальных интерфейсов в соответствии с двумя типами физических сетевых интерфейсов: - виртуальные интерфейсы, связанные с физическими интерфейсами типа Ethernet как с базовыми; интерфейсы этой группы включают VLAN-интерфейсы (раздел 2.4.1, с. 36), TNL-интерфейсы (раздел 2.4.2, с. 39), GRE-интерфейсы (раздел 2.4.3, с. 43); интерфейсы этой группы выполняют необходимую дополнительную обработку IP-датаграмм на L3-уровне в случае применения изделия в качестве криптомаршрутизатора; - виртуальные интерфейсы, связанные с физическими интерфейсами типа L2–Eth как с базовыми; эту группу составляют виртуальные интерфейсы типа L2–VLAN (раздел 2.4.4, с. 46) и типа L2–TNL (раздел 2.4.5, с. 49); интерфейсы этой группы выполняют необходимую дополнительную обработку Ethernet-кадров на L2-уровне в случае применения изделия в качестве средства организации L2- криптомостов. Настоящий раздел РНУ посвящен вопросам создания и настройки сетевых виртуальных интерфейсов изделия, отнесенных к указанным группам. 2.4.1. VLAN- интерфейсы В случае применения изделия в качестве криптомаршрутизатора полезным и эффективным может оказаться применение поддерживаемых изделием виртуальных VLAN-интерфейсов. VLAN-интерфейсы логически связываются с базовыми физическими Ethernet-интерфейсами при создании и настройке VLAN-интерфейса через значение параметра Базовый интерфейс (см. Рис. 2.19, с. 38). Обеспечивая дополнительную обработку проходящего через Ethernet-интерфейс трафика, VLAN-интерфейсы позволяют эффективно управлять межсетевым трафиком в локальных сетях, в результате чего при реализации отдельных сетевых решений может быть достигнут заметный практический и экономический эффект. Примечание. Ниже приведены общие сведения о технологии VLAN-обмена и некоторые положения стандарта IEEE802.1Q, полезные при подготовке изделий к работе как с VLAN- интерфейсами (см. раздел 2.4.1.2, с. 38), обеспечивающими работу с VLAN-сетями при организации обмена на L3-уровне, так и с L2–VLAN-интерфейсами (см. раздел 2.4.4, с. 46), обеспечивающими работу с VLAN-сетями при организации обмена на L2-уровне. 2.4.1.1. Общие сведения Практически все современные локальные вычислительные сети строятся с использованием технологии Ethernet, которая позволяет объединить множество рабочих станций абонентов, серверы приложений и оборудование построения глобальной сети (WAN) в единое коммуникационное пространство. Все участники Ethernet-сети сразу после подключения получают возможность непосредственного информационного обмена по схеме «каждый с каждым» (unicast-адресация), «каждый со всеми» (broadcast-адресация) или «каждый с группой» (multicast-адресация) – подробнее см. раздел 2.8, с. 60. Если информационный обмен между некоторыми участниками сети нежелателен (запрещен), то для них приходится организовывать отдельную Ethernet-сеть (устанавливая дополнительное оборудование), управляя потоками данных между сетями с использованием межсетевых экранов, что приводит к существенным дополнительным затратам. Для решения указанной проблемы менее затратными средствами технологией Ethernet поддерживается возможность построения виртуальных локальных сетей – VLAN (Virtual Local Area Network), которую поддерживают практически все современные Ethernet-коммутаторы. В простейшем случае организация VLAN-сетей выполняется простым делением ресурсов коммутатора между сетями (закреплением части портов коммутатора за каждой из VLAN-сетей). Такой подход аналогичен применению нескольких независимых коммутаторов, установленных в один корпус, но позволяет гибко изменять количество выделяемых для каждой сети портов коммутатора в зависимости от текущих потребностей. VLAN-сети информационно изолированы друг от друга. Если необходимо подключить VLAN-сети к маршрутизатору, то в каждой сети необходимо предусмотреть порт для этой цели, а в маршрутизаторе организовать отдельные Ethernet-интерфейсы для подключения каждой VLAN-сети. Такое решение крайне неудобно и затратно. Решение проблемы объединения VLAN-сетей обеспечивается такой технологией работы, когда на Ethernet- коммутаторе выделяется один порт (его называют транковым (англ. trunk – магистраль) или тегированным (англ. tag – метка, признак) портом), принадлежащий одновременно нескольким VLAN-сетям. Исходящий трафик с этого порта должен передаваться с добавлением в заголовок каждого кадра специального Глава 2 Организация работы изделия с сетями передачи данных 37 идентификатора – тега, по которому можно определить принадлежность кадров к конкретной VLAN-сети. Если к такому порту подключить маршрутизатор, интерфейс которого умеет реагировать на теги в кадрах, то маршрутизатор сможет получать информацию ото всех VLAN-сетей по одному интерфейсу и выполнять ее необходимую обработку. Справедливо и обратное, если маршрутизатору потребуется передать пакет в заданную VLAN-сеть, то он должен будет указать идентификатор требуемой сети – тег – в заголовке передаваемого кадра. Технология построения виртуальных локальных сетей (VLAN) описана стандартом IEEE802.1Q, основное содержание которого изложено ниже. В качестве идентификатора VLAN-сети – тега – используется VNID (Virtual Network Identificator – идентификатор виртуальной сети) – 12-битовое двоичное число (см. ниже формат кадра Ethernet_II_VLAN), которое может принимать значения от 0 до 4095 (первый и последний номера зарезервированы, их использовать нельзя). Соответственно, VLAN-сети с помеченным с помощью VNID трафиком называют тегированными. Чаще всего при настройке VLAN-сетей на Ethernet-коммутаторах задают несколько нетегированных портов для подключения абонентских станций и один или несколько тегированных (транковых) портов для подключения WAN-маршрутизаторов, серверов приложений или иных ресурсов, требующих одновременной работы с несколькими VLAN-сетями. Для разделения информационных потоков в локальной сети по принадлежности к группам в стандартные заголовки Ethernet-кадров, циркулирующих в многоточечном канале связи локальной сети, добавляется информация, идентифицирующая группу, к которой принадлежит каждый кадр. Рассмотрим формат кадров Ethernet_II (именно этот формат используется для передачи IP-датаграмм через локальную сеть): Назначение поля Длина (байт) MAC-адрес получателя 6 MAC-адрес отправителя 6 Тип данных 2 Данные 46-1500 При использовании технологии VLAN к стандартному заголовку кадра Ethernet_II добавляются два дополнительных поля, и кадр приобретает следующий формат: Назначение поля Длина (байт) MAC-адрес получателя 6 MAC-адрес отправителя 6 Тип данных (0x8100) 2 Идентификатор группы (VNID) 2 Исходный тип данных 2 Данные 46-1500 Формирование VLAN-модифицированных кадров формата Ethernet_II (будем называть их кадрами формата Ethernet_II_VLAN) производится по следующим правилам. 1. В поле Тип данных стандартного заголовка кадра формата Ethernet_II помещается шестнадцатеричное значение 8100, которое означает, что в кадр упакованы VLAN-данные. 2. В добавочном поле Идентификатор группы (VNID) размещается идентификатор группы станций, относящихся к конкретной VLAN (значение VNID определяют 12 младших бит 2-байтового добавочного поля Идентификатор группы). 3. В добавочное поле Исходный тип данных переносится действительный тип следующих далее данных. 4. При дальнейшей обработке кадра формата Ethernet_II_VLAN два добавочных поля (общей длиной 4 байта) условно считаются принадлежащими полю данных. Физическими интерфейсами изделий обеспечивается обработка Ethernet-кадров формата Ethernet_II_VLAN. При приеме таких кадров физические интерфейсы корректно извлекают содержащиеся в них данные, а при отправке данных – могут упаковать их в кадры формата Ethernet_II_VLAN. Виртуальные интерфейсы изделия типа VLAN и L2–VLAN являются удобными для администратора изделия механизмами, обеспечивающими оперативное управление трафиками, проходящими через соответствующие базовые физические интерфейсы изделия. Например, механизмы этих виртуальных интерфейсов позволяют дифференцировать в базовых физических интерфейсах условия фильтрации для трафиков, принадлежащих разным VLAN-сетям, путем индивидуальной настройки фильтров входящего и исходящего трафиков для каждого из виртуальных интерфейсов, обеспечивающих работу по VLAN-технологии (см. поля Фильтр входящих и Фильтр исходящих бланков создания и настройки интерфейсов типа VLAN и L2–VLAN). 38 Глава 2 Организация работы изделия с сетями передачи данных 2.4.1.2. Создание и настройка VLAN-интерфейса. Чтобы создать VLAN-интерфейс, следует в меню выбора типа и принадлежности создаваемого интерфейса (Рис. 2.2, с. 23) выбрать альтернативу VLAN, установить принадлежность создаваемого VLAN-интерфейса наружному или внутреннему маршрутизатору и нажать клавишу Рис. 2.19 Бланк создания и настройки VLAN-интерфейса Этот бланк отличается от представленного на Рис. 2.4 бланка создания и настройки физического интерфейса типа Ethernet отсутствием полей Тип и Режим активизации и наличием двух дополнительных полей: VLAN-идентификатор и Базовый интерфейс. Остальные поля этих двух бланков совпадают. Для VLAN-интерфейсов перечисленные ниже поля бланка настройки заполняются так же, как для физических Ethernet-интерфейсов (см. Рис. 2.4, раздел 2.3.1, с. 25): - Имя интерфейса, - Таблица маршрутов, - Локальный IP-адрес интерфейса, - Удаленный IP-адрес интерфейса, - Допустимое время неактивности интерфейса, - Максимальный размер IP-датаграмм, - Фильтрывходящих, Фильтрыисходящих, - Специальные настройки Дополнительные параметры (Рис. 2.19) – при выборе этого поля бланка на видеомонитор ЛКУ выдается экран настройки, представленный на Рис. 2.20. VLAN-интерфейсы имеют только два дополнительных параметра: Скорость передачи и Скорость приема . Настройка значений параметров должна выполняться с учетом рекомендаций, выданных в разделе 2.3.1 (с. 25) при настройке Ethernet-интерфейса (см. Рис. 2.9, с. 29). Это позволит обеспечить с помощью поддерживаемого изделием механизма приоритизации трафика приемлемого (в условиях ограниченной пропускной способности отдельных трактов передачи данных ЗСПД) режима обработки потоков данных различного характера (подробнее о механизме приоритизации трафика см. раздел Приложение Г (с. 238). Рис. 2.20 Экран настройки ограничения скорости обработки трафиков, проходящих через VLAN-интерфейс Примечание. Алгоритмы обработки трафика, передаваемого в сеть и принимаемого из сети интерфейсами изделия, при настройке которых предусмотрена возможность установки значений параметров Скорость передачи и Скорость приема (это интерфейсы типа Ethernet, VLAN, TNL), различны (подробнее об этих алгоритмах см. раздел Приложение Г , с. 238). Для правильной настройки значений указанных параметров следует учитывать разницу в работе этих алгоритмов. VLAN-идентификатор (Рис. 2.19) – целое десятичное число в диапазоне от 0 до 4095, идентификатор VLAN-сети (VNID), значение которого задает администратор. Базовый интерфейс (Рис. 2.19) – при выборе альтернативы на видеомонитор ЛКУ будет выдан список ранее сконфигурированных физических интерфейсов маршрутизатора, аналогичный представленному на Рис. 2.21. Глава 2 Организация работы изделия с сетями передачи данных 39 В этом списке следует выбрать имя того интерфейса, к которому как к базовому будет привязан создаваемый VLAN-интерфейс, после чего имя выбранного интерфейса будет занесено в поле Базовый интерфейс бланка создания и настройки VLAN-интерфейса (Рис. 2.19). Рис. 2.21 Список физических интерфейсов, созданных в маршрутизаторе 2.4.2. TNL- интерфейсы Общие сведения. В рамках технологии DioNIS® администратору предоставлена возможность применения нескольких видов криптотуннелей, создаваемых с помощью разных инструментов (подробнее о видах криптотуннелей и способах их организации см. раздел 3.1, с. 73). В изделиях нового поколения в качестве основного инструмента для передачи IP-датаграмм между БВМ и БНМ изделия через его шифратор применяются TNL-интерфейсы. Наряду с TNL-интерфейсами новыми изделиями поддерживается применявшийся ранее механизм статических криптотуннелей, выполняющий аналогичную функцию. Применение механизма статических криптотуннелей обеспечивает совместимость работы изделий нового и старого поколений. Примечание. Применение TNL-интерфейсов для целей защиты IP-датаграмм, передаваемых на L3-уровне, имеет ряд преимуществ по сравнению с применением статических туннелей (подробнее см. раздел 3.1, с. 73). Но в ряде специальных случаев применение статических криптотуннелей может оказаться предпочтительнее, т.к. статические криптотуннели позволяют при настройке более избирательно очертить круг отбираемых в криптотуннель IP-датаграмм (хотя и требуют соответствующей квалификации администратора). Создание и настройка TNL-интерфейса. Чтобы создать TNL-интерфейс, надо в меню выбора типа и принадлежности интерфейса (Рис. 2.2, с. 23) выбрать альтернативу TNL, установить параметру, определяющему принадлежность интерфейса, значение общий и нажать клавишу Этот бланк отличается от представленного на Рис. 2.4 (с. 25) бланка создания и настройки физического интерфейса типа Ethernet: - отсутствием в левом верхнем углу рамки бланка указателя на маршрутизатор, которому принадлежит создаваемый и настраиваемый интерфейс, поскольку TNL-интерфейсы имеют общую принадлежность; - наличием дополнительных полей Идентификатор туннеля и Шифрование потока; - отсутствием полей Тип, Режим активизации и Допустимое время неактивности интерфейса. Все остальные поля в двух бланках совпадают. Рис. 2.22 Бланк создания и настройки TNL-интерфейса Для TNL-интерфейсов перечисленные ниже поля бланка настройки заполняются так же, как для физических Ethernet-интерфейсов (см. Рис. 2.4, раздел 2.3.1, с. 25): - Имя интерфейса, - Таблица маршрутов, 40 Глава 2 Организация работы изделия с сетями передачи данных - Фильтры входящих, Фильтры исходящих, - Максимальный размер IP-датаграмм (TU), - Специальные настройки. Остальные поля бланка заполняются следующим образом. Идентификатор туннеля (Рис. 2.22) – 5-значное десятичное число в диапазоне от |