Использование раздельных VPN-туннелей

В данном варианте конфигурации на каждом ФПСУ-IP будет создаваться по два VPN-туннеля.

Всего будет создано три VPN-туннеля. При этом для обмена данными защищаемые области будут использовать следующие туннели:

•VPN-1 - обмен области А с областью С;

•VPN-2 - обмен области В с областью С;

•VPN-3 - обмен области А с областью В.

На рисунке ниже показаны организованные VPN-туннели.

Как видно из схемы, туннель 3 будет проходить через маршрутизатор С, минуя ФПСУ-IP С, т.е. маршрутизатор С будет осуществлять переброску (маршрутизацию) пакетов с одного из своих интерфейсов на другой для доставки их ФПСУ-IP А или ФПСУ-IP В.

Конфигурация ФПСУ-IP должна содержать следующие установки:

⇒ Для ФПСУ-IP А:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1.1 (ключи с номерами 1.2, 1.3, 1.4 - на усмотрение администратора). Ключи номер 1.1 указаны как собственные.

Порт 1:

Номер 1;

Адрес 11.12.1.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены.

Абоненты:

Подсеть; 11.12.1.0; 255.255.255.0 (24 разряда),

режим работы - ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 11.12.1.50;

Маска 255.255.255.0 (24 разряда);

ФПСУ

11.12.2.50, ключевые данные - 2.1; смена через 30 мин,

сжатие и криптозащита - "желательно" или "обязательно",

через маршрутизатор 11.12.1.1;

11.12.3.50, ключевые данные - 3.1; смена через 30 мин,

сжатие и криптозащита - "желательно" или "обязательно",

через маршрутизатор 11.12.1.1;

Маршрутизаторы

11.12.1.1;

протоколы маршрутизации - на усмотрение администратора,

переключатель "Отвечать на Ping" - на усмотрение администратора;

Абоненты

Подсеть, 11.12.2.0; 255.255.255.0 (24 разряда),

через ФПСУ 11.12.2.50,

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть, 11.12.3.0; 255.255.255.0 (24 разряда),

через ФПСУ 11.12.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

⇒ Для ФПСУ-IP В:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2.1 (ключи с номерами 2.2, 2.3, 2.4 - на усмотрение администратора). Ключи номер 2.1 указаны как собственные.

Порт 1:

Номер 1

Адрес 11.12.2.50

Маска 255.255.255.0 (24 разряда)

ФПСУ не определены

Маршрутизаторы не определены

Абоненты:

Подсеть, 11.12.2.0; 255.255.255.0 (24 разряда), ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2

Адрес 11.12.2.50

Маска 255.255.255.0 (24 разряда)

ФПСУ:

11.12.1.50, ключевые данные - 1.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.2.1

11.12.3.50, ключевые данные - 3.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.2.1

Маршрутизаторы:

11.12.2.1, протоколы маршрутизации - на усмотрение администратора;

переключатель "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 11.12.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.1.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть; 11.12.3.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.3.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

⇒ Для ФПСУ-IP С:

Установлены выработанные ЦВК ключи парно-выборочной связи номер 3.1 (ключи с номерами 3.2, 3.3, 3.4 - на усмотрение администратора). Ключи номер 3.1 указаны как собственные.

Порт 1:

Номер 1,

Адрес 11.12.3.50,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; 11.12.3.0; 255.255.255.0 (24 разряда); ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только режим через ФПСУ;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2,

Адрес 11.12.3.50,

Маска 255.255.255.0 (24 разряда);

ФПСУ:

11.12.1.50, ключевые данные - 1.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.3.1

11.12.2.50, ключевые данные - 2.1; смена через 30 мин;

сжатие и криптозащита - "желательно" или "обязательно";

через маршрутизатор 11.12.3.1

Маршрутизаторы:

11.12.3.1, протоколы маршрутизации - на усмотрение администратора;

переключатель "Отвечать на Ping" - на усмотрение администратора;

Абоненты:

Подсеть, 11.12.1.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.1.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть, 11.12.2.0; 255.255.255.0 (24 разряда);

через ФПСУ 11.12.2.50;

режим партнера этого порта - включен только режим через ФПСУ;

режим партнера другого порта - включены все режимы;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Только на ФПСУ-IP С для подсети 11.12.3.0 должно быть разрешено управление маршрутизаторами 11.12.1.1, 11.12.2.1, 11.12.3.1 (см. пункт "DHCP-Relay").

Необходимо также перенастроить пограничные маршрутизаторы с целью запрещения доступа к ним по протоколам сетевого управления с внешних портов.