Примеры настройки ФПСУ-IP
Previous 

Разделение подсети на два фрагмента средствами ФПСУ-IP

 Next

Представим теперь, что до установки ФПСУ-IP существовала одна IP-подсеть с адресом 11.12.13.0 и маской 255.255.255.0, которую необходимо разделить физически на два независимых фрагмента (например, по функциональному признаку) без переконфигурирования программного обеспечения хостов, причем требуется регламентировать обмены данными между хостами независимых фрагментов. Отметим, что в предыдущем примере ("Защита локальной сети, состоящей из двух IP-подсетей") разделение абонентов на две подсети было логическим, то есть для его осуществления была необходима особая конфигурация TCP/IP-стека защищаемых хостов, при изменении которой выполнение наложенных в примере требований было бы невозможно. В данном примере рассматривается физическое разделение подсети, при котором абоненты отдельных фрагментов физически не могут обмениваться пакетами друг с другом в обход комплекса ФПСУ-IP.

После установки ФПСУ-IP сеть имеет вид, изображенный на рисунке ниже.

Помимо физического разделения на работу двух подсетей накладываются следующие требования:

хосты области 1, исключая хост 11.12.13.1, и все хосты области 2 должны иметь полный доступ друг к другу, в том числе должна обеспечиваться возможность поиска и подключения сетевых дисков;

хост 11.12.13.1 не должен иметь доступа в область 2.

Sample_CFG_Scheme3_30092020

С точки зрения конфигурирования ФПСУ-IP, для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны портов 1 и 2 ФПСУ-IP существует одна и та же IP-подсеть, маршрутизаторы и другие ФПСУ-IP отсутствуют;

обмен хостов через комплекс может производиться только в режиме ретрансляции, сжатие и криптозащита невозможны;

работа с ключевыми данными при такой топологии не производится;

абоненту с IP-адресом 11.12.13.1 должен быть запрещен обмен пакетами с абонентами со стороны порта 2;

для обеспечения поиска и подключения сетевых дисков необходимо разрешить передачу через ФПСУ-IP широковещательных пакетов.

Конфигурация ФПСУ-IP должна содержать следующие установки:

Порт 1:

Номер 1,

Адрес 11.12.13.7,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены,

Абоненты:

Подсеть; 11.12.13.0; 255.255.255.0 (24 разряда),

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.1;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - выключен;

переключатель "Работа разрешена" выключен.

Порт 2:

Номер 2,

Адрес 11.12.13.7,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены,

Абоненты:

Подсеть 11.12.13.0; 255.255.255.0 (24 разряда),

режим работы ретрансляция;

переключатель "Только Broadcast" включен;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.5,

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.6,

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.8,

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.9;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

 

Исходя из принципов конфигурирования ФПСУ-IP, со стороны одного из портов (в текущем примере - с порта 1) описана вся подсеть через хост вида "подсеть" с указанием адреса и маски сети (это сделано для простоты конфигурирования, чтобы не указывать индивидуальные адреса всех входящих в подсеть со стороны данного порта хостов), а со стороны противоположного порта - указаны индивидуальные адреса хостов, физически присутствующих с этой стороны, для регламентирования передачи индивидуальных пакетов и один повторный описатель типа "Подсеть" для регламентации широковещательных передач.

Для абонента 11.12.13.1 запрещение работы с абонентами области 2 осуществляется через выключение переключателя "Работа разрешена".