Общие правила разделения потоков

При обмене информацией между двумя ФПСУ-IP, работающими в паре, данные передаются по сети в туннелированном виде, так что любая рабочая станция на пути следования IP пакетов от одного ФПСУ-IP к другому, включая пограничные маршрутизаторы, может "видеть" в их IP-заголовках только IP-адреса отправляющего и получающего ФПСУ-IP и номер IP-протокола, по которому осуществляется обмен между ФПСУ-IP.

Таким образом, если на пути следования пакетов находится пограничный маршрутизатор, конфигурированный на формирование нескольких различных потоков с различными маршрутами следования или ограничения полосы их пропускания (функция "shaping"), этот маршрутизатор не сможет вычленить из пакетов данных необходимую информацию и выполнить указанные функции.

Для устранения этой проблемы и согласования работы ФПСУ-IP и пограничных маршрутизаторов разработана специальная подсистема, позволяющая разделить поступающие в VPN-туннель данные на несколько (максимально сто двадцать восемь) различных потоков и связать номера этих потоков с различными номерами IP-протоколов. Соответствие номеров потоков данных, отправляемых с ФПСУ-IP, номерам IP-протоколов, по которым они будут отправлены, выглядит следующим образом:

Поток №1(поток по умолчанию) — 53 номер IP протокола или UDP:30004 (если протокол между ФПСУ-IP выбран UDP).

Остальные потоки идут подряд, начиная с 110 номера IP протокола или UDP:55 000:

•Поток №2 — 110 номер IP протокола / UDP:55 000;

•Поток №3 — 111 номер IP протокола / UDP:55 001;

•…

•Поток №128 — 226 номер IP протокола / UDP:55 126.

Обратите внимание, что для эффективной совместной работы ФПСУ-IP и пограничных маршрутизаторов по формированию потоков требуется согласование их конфигураций. Однако если это условие не выполняется, фатальных ошибок при передаче данных не произойдет и данные по VPN-туннелю будут доставлены в любом случае. Если ФПСУ-IP конфигурирован на разделение потоков, а один из пограничных маршрутизаторов (или даже все) - не конфигурирован, удаленный ФПСУ-IP получит посылаемые с конфигурируемого ФПСУ-IP данные в IP-пакетах с номером протокола 53 в заголовке пакета (по маршруту, который конфигурирован на пограничных маршрутизаторах для этого протокола). Установки удаленного ФПСУ-IP по разделению потоков не влияют на выполнение описываемой функции конфигурируемым ФПСУ-IP.

Правила разделения потоков устанавливаются индивидуально для каждого VPN-туннеля, образуемого конфигурируемым ФПСУ-IP с соседними ФПСУ-IP, при описании параметров порта (см. пункт "Описание параметров удаленных ФПСУ-IP"). Однако с целью облегчения конфигурационных работ можно создать сначала "библиотеку" описателей правил, или общие правила-шаблоны, используемые потом в качестве заготовок при установке индивидуальных для каждого VPN-туннеля правил разделения потоков.

Общие правила разделения потоков могут быть описаны с использованием соответствующей команды меню конфигурации ФПСУ-IP. ВНИМАНИЕ! Операция по определению общих правил носит абстрактный характер, установленные здесь правила при работе комплекса не используются, а только служат "заготовками" при формировании параметров порта конфигурируемого ФПСУ-IP. Поэтому порядок следования общих правил в списке не имеет значения.

По активизации команды "Общие правила разделения потоков" на экране появляется окно, содержащее список установленных общих правил или пустое, если правила еще не описывались.

Чтобы добавить новое общее правило, следует нажать клавишу <Ins>, после чего открывается окно "Установка нового общего правила".

Чтобы установить правило, по которому поступающий в VPN-туннель со стороны конфигурируемого ФПСУ-IP IP-пакет будет направлен в определенный выходной поток, следует указать ФПСУ-IP номер IP-протокола, данные которого будут содержать пакет, IP-адрес (или диапазон адресов) отправителя (абонента, посылающего пакет со стороны конфигурируемого ФПСУ-IP) и адрес (или диапазон адресов) получателя (абонента, которому предназначается пакет).

Если какой-либо критерий правила не имеет значения для направления пакета в тот или иной выходной поток (например, в поток направляются любые данные, отправляемые любыми абонентами по конкретному IP-адресу), в соответствующих полях устанавливаются значения "Любой" (для протокола) или "Произвольный" (для адресов).

Чтобы установить для выходного потока какой-либо конкретный протокол, нужно "встать" на строку "Любой" под заголовком "Протокол" и нажать клавишу <Пробел>, затем в открывшемся списке протоколов установить курсор на нужный протокол и нажать <Enter> или <Пробел>, после чего будет осуществлен выход в окно установки описываемого правила. Если указанный протокол требует установки дополнительных параметров (например, номера начального и конечного портов для протоколов TCP или UDP), в окне появятся соответствующие поля ввода, в которые можно ввести либо номера портов (после чего в нижележащей строке будет отображено название "прикрепленного" к этому порту протокола, если оно есть), либо установить курсор на строку под полем ввода и нажать <Пробел>, после чего в появившемся списке отметить номер (или соответствующий протокол) нужного порта (в случае, если номер порта не превышает 1023).

Для установки IP-адресов отправителей и получателей следует поместить курсор на нужную строку, нажать <Пробел> и набрать в появившихся полях ввода адрес и маску (если в качестве отправителя и/или получателя могут выступать подсети).

После описания всех критериев правила следует выбрать номер выходного потока, для чего требуется перейти в поле "Выходной поток", и указать номер (номер выходного потока должен соответствовать номеру протокола, который будет использован для формирования данного потока при конфигурировании пограничного маршрутизатора). По активизации поля "Сохранить" подсистема конфигурирования осуществит выход в окно списка установленных общих правил.

Над установленными общими правилами в списке можно осуществить следующие операции:

•редактировать текущее правило (по нажатию <Enter>);

•удалить текущее правило (по нажатию <Del>).

ВНИМАНИЕ! При выделении в отдельный поток данных протоколов, допускающих динамическое изменение номеров портов (например, FTP), правила направления IP-пакетов в этот поток могут работать некорректно (хотя пакеты в любом случае будут доставлены удаленному комплексу ФПСУ-IP). Если администратору обязательно требуется сформировать отдельный FTP-поток, рекомендуется использовать с этой целью поток по умолчанию (см. раздел Описание параметров удаленных ФПСУ-IP). Для этого все прочие данные распределяются по каким-либо определенным потокам, а в качестве потока по умолчания устанавливается поток, соответствующий номеру протокола, конфигурированного на пограничном маршрутизаторе для требуемого маршрута передачи данных FTP-протокола.